Хакерская группа UNC2891, также известная как LightBasin, использовала Raspberry Pi с поддержкой 4G внутри банковской сети для обхода средств защиты. Мошенники пытались вывести наличные.
Одноплатный компьютер был физически подключен к сетевому коммутатору банкомата, создавая невидимый канал во внутренней сети банка. Это позволяло злоумышленникам осуществлять горизонтальное проникновение и внедрять бэкдоры.
По данным Group-IB, которая обнаружила взлом в ходе расследования подозрительной активности в сети, целью атаки было подменить авторизацию банкомата и снять наличные.
В итоге атака не удалась, но этот инцидент стал редким примером сложной гибридной атаки с физическим и удалённым доступом.
Ранее группа уже атаковала банковские системы, в том числе с помощью руткита для ядра Unix «Caketap», созданного для работы на системах Oracle Solaris. Caketap манипулирует ответами модуля безопасности платёжного оборудования (HSM), в частности, сообщениями о проверке карт, для авторизации мошеннических транзакций.
LightBasin также успешно атакует телекоммуникационные системы, используя бэкдор с открытым исходным кодом TinyShell для перемещения трафика между сетями и его маршрутизации через определённые мобильные станции.
В случае с банком группировка получила физический доступ к одному отделению либо самостоятельно, либо подкупив сотрудника, который помог им установить Raspberry Pi с 4G-модемом на тот же сетевой коммутатор, что и банкомат. Возможности исходящего интернет-подключения устройства позволили злоумышленникам поддерживать постоянный удалённый доступ к внутренней сети банка, обходя межсетевые экраны периметра.
На Raspberry Pi был установлен бэкдор TinyShell, который злоумышленник использовал для организации исходящего канала управления и контроля (C2) через мобильные данные.
На последующих этапах атаки злоумышленники переместились на сервер сетевого мониторинга, имеющий обширные возможности подключения к центру обработки данных банка. Оттуда они переключились на почтовый сервер, имеющий прямой интернет-доступ, что обеспечило сохранение активности даже после обнаружения и удаления Raspberry Pi. Бэкдоры, использованные для бокового перемещения, получили название «lightdm» для имитации легитимного диспетчера отображения LightDM, используемого в системах Linux.
Для сокрытия атаки также использовали альтернативные файловые системы, такие как tmpfs и ext4, поверх путей «/proc/[pid]» вредоносных процессов, что фактически скрывало соответствующие метаданные от инструментов анализа.
Согласно расследованию Group-IB, сервер сетевого мониторинга внутри банковской сети каждые 600 секунд посылал сигналы Raspberry Pi через порт 929. Это указывает на то, что устройство служило опорным хостом.
Исследователи утверждают, что конечной целью злоумышленников было развёртывание руткита Caketap.
Источник: habr.com