Hakerzy z grupy UNC2891 wykorzystali komputery Raspberry Pi z modemem 4G do ataku na sieć bankomatową w Indonezji

Bezpieczeństwo sieciowe w bankach kojarzy się z zaawansowanymi atakami przeprowadzanymi zdalnie. Istnieją jednak metody, które łączą świat cyfrowy z fizycznym, stanowiąc zupełnie inne wyzwanie dla zespołów informatycznych. Jedna z takich technik polega na obejściu zabezpieczeń poprzez umieszczenie wewnątrz infrastruktury urządzenia, które otwiera hakerom tylne drzwi do systemu, gdzie nawet najsilniejsze zapory sieciowe mogą okazać się bezużyteczne.

Hakerzy wykorzystują minikomputery Raspberry Pi z modemami 4G, aby po fizycznym podłączeniu do sieci bankowej uzyskać do niej zdalny i trwały dostęp, omijając tradycyjne zabezpieczenia.

Cyfrowa zemsta. Hakerzy zniszczyli 7000 serwerów i sparaliżowali największą rosyjską linię lotniczą Aerofłot

Specjaliści z firmy Group-IB odkryli wyjątkowo zaawansowany atak na infrastrukturę bankową, w którym grupa cyberprzestępców UNC2891 wykorzystała fizyczny implant w postaci komputera Raspberry Pi do uzyskania dostępu do sieci bankomatów. Urządzenie zostało podłączone bezpośrednio do tego samego przełącznika sieciowego co bankomat w indonezyjskim banku. Pozwoliło to omijać tradycyjne zabezpieczenia peryferyjne. Raspberry Pi wyposażony w modem 4G służył jako kanał komunikacji z serwerem Command & Control poprzez sieć komórkową.

Hakerski atak na repozytoria Toptal w serwisie GitHub umożliwia dystrybucję malware przez Node Package Manager

Hakerzy wykorzystali backdoor TinyShell do ustanowienia stałego dostępu przez dynamiczną domenę DNS. Po uzyskaniu dostępu do wewnętrznej sieci, atakujący przeszli do serwera monitorowania sieci, który miał rozległą łączność z centrum danych banku. Cyberprzestępcy przejęli kontrolę nad serwerem poczty e-mail banku. Ponieważ był on podłączony do internetu, hakerzy mieli zapasowy sposób dostępu do sieci nawet po wykryciu ukrytego komputera. Ostatecznym celem ataku było wdrożenie rootkita CakeTap na serwerze przełączającym bankomaty w celu przeprowadzenia nieautoryzowanych wypłat gotówki z bankomatów.

Nowe luki w SharePoint Server. Microsoft potwierdza ataki chińskich grup i zaleca natychmiastową instalację poprawek

Najważniejszym elementem tego ataku było zastosowanie wcześniej nieudokumentowanej techniki zapobiegającej wykryciu wykorzystującej Linux bind mount (mechanizm, który pozwala na ponowne zamontowanie już zamontowanego systemu plików w innej lokalizacji w systemie plików, przy jednoczesnym zachowaniu dostępu do niego w oryginalnej lokalizacji) do ukrywania procesów backdoora przed standardowymi narzędziami diagnostycznymi. Hakerzy nazwali swój program lightdm, żeby wyglądał jak standardowe oprogramowanie systemowe LightDM (zarządza ekranem logowania i sesjami użytkowników w systemach Linux). Atakujący wykorzystali bind mount do mapowania alternatywnych systemów plików na ścieżki /proc/[pid] złośliwych procesów. To skutecznie ukrywało ich metadane przed narzędziami wyszukującymi i analizującymi potencjalne zagrożenia. Ta technika została oficjalnie dodana do frameworka MITRE ATT&CK jako T1564.013 Hide Artifacts Bind Mounts na podstawie odkryć Group-IB.