Дръзко проникване: Хакери инсталираха Raspberry Pi с 4G в голяма банкова мрежа в търсене на богатство
В сряда, т.е. през вчерашния ден, откриватели оповестиха, че в мрежата на неназована банка хакери са сложили Raspberry Pi, оборудван с 4G модем, в опит да изтеглят пари от банкоматната система на финансовата институция.
Изследователите от компанията за сигурност Group-IB обявиха, че „ невижданата тактичност е разрешила на нападателите да заобиколят напълно отбраната на периметъра “. Хакерите са комбинирали физическото навлизане със злотворен програмен продукт за далечен достъп, който е употребявал друга нова техника, с цел да се скрие даже от комплицираните принадлежности за правосъдна експертиза. Техниката, известна като Linux bind mount, се употребява в ИТ администрацията, само че в никакъв случай не е била забелязвана да се употребява от хакери. Този трик е разрешил на зловредния програмен продукт да работи сходно на руткит, който употребява усъвършенствани техники, с цел да се скрие от операционната система, в която работи.
Крайната цел: Възстановяване на комутационната ATM мрежа
Raspberry Pi е бил обвързван към същия мрежов суич, употребен от системата за банкомати на банката – състояние, което на процедура го слага във вътрешната мрежа на банката. Целта е била да се компрометира сървърът за комутация сред банкоматите и да се употребява този надзор за манипулиране на хардуерния модул за сигурност на банката – физическо устройство, стабилно на манипулиране, което се употребява за запазване на секретните данни, като да вземем за пример пълномощни и цифрови подписи, и за осъществяване на криптиращите и декриптиращите функционалности.
Групата, която стои зад офанзивата, е записана в сектора под името UNC2891. Това е мощно финансово стимулирана хакерска формация за закани, която най-малко от 2017 година е дейна в офанзивите против инфраструктурите на банките. Тя си е спечелила заслужена известност на експерт в потреблението на персонализиран злотворен програмен продукт при офанзиви, ориентирани към системите Linux, Unix и Oracle Solaris.
През 2022 година подразделението Mandiant на Гугъл съобщи, че е забелязало, че UNC2891 прекарва години в целева мрежа, през което време проникването остава значително неусетно. Изследователите на Mandiant продължиха да разпознават CakeTap, потребителски руткит за системите Solaris. Наред с другите неща, CakeTap манипулира известията, преминаващи през инфектираната мрежа за комутация с банкоматите, най-вероятно за потребление за неразрешено изтегляне на пари в брой благодарение на подправени банкови карти. Mandiant документира два други персонализирани зловредни софтуера, които компанията назова SlapStick и TinyShell.
Докладът на Group-IB от сряда демонстрира, че UNC2891 към момента са дейни и намират нови и усъвършенствани способи за навлизане в банковите мрежи, без да бъдат разкрити.
„ Един от най-необичайните детайли на този случай е потреблението на физически достъп от страна на нападателя за инсталиране на Raspberry Pi устройство “, написа старши експертът по цифрова криминалистика и реагиране при произшествия на Group-IB Нам Ле Фуонг. „ Това устройство беше обвързвано непосредствено към същия мрежов прекъсвач като на банкомата, което на процедура го включи във вътрешната мрежа на банката. Raspberry Pi беше оборудвано с 4G модем, който позволяваше далечен достъп посредством мобилни данни. “
За да поддържа нужната резистентност, UNC2891 компрометира и пощенския сървър, защото той е имал непрекъсната връзка с интернет. След това Raspberry Pi и задната врата на пощенския сървър комуникирали, като употребявали сървъра за мониторинг на банката като медиатор. Мониторинговият сървър е бил определен, тъй като е имал достъп до съвсем всеки сървър в центъра за данни.
Сървърът за мониторинг на мрежата като медиатор сред Raspberry Pi и пощата При първичното изследване на мрежата на банката откривателите на Group-IB виждат някои необикновени дейности на сървъра за мониторинг, в това число произлязъл сигнал на всеки 10 минути и повтарящи се опити за свързване с незнайно устройство. След това откривателите употребяват форенсик инструмент, с цел да проучват връзките. Инструментът разпознал крайните точки като Raspberry Pi и пощенския сървър, само че не съумял да разпознава имената на процесите, виновни за сигнализацията.
Форсенсик инструментът за подбиране не може да получи съответното име или идентификатор на процеса, обвързван със сокета. След това откривателите записват паметта на системата по време на изпращането на сигналите. При прегледа процесът е разпознат като lightdm – развой, обвързван с мениджъра на екрани с отворен код LightDM. Процесът изглеждал законен, само че откривателите го сметнали за недоверчив, защото двоичният файл на LightDM бил конфигуриран на извънредно място. След по-нататъшно следствие откривателите разкрили, че процесите на потребителската задна врата са били съзнателно прикрити в опит да заблудят откривателите.
Фуонг изясни: „ В момента, в който се появява тази версия, тя се употребява за отбрана на потребителите:
Процесът на задната малка врата е предумишлено замаскиран от субекта на опасността посредством потреблението на маскиране на процеса. По-конкретно, двоичният файл е наименуван „ lightdm “, имитирайки законния управител на екрана LightDM, който постоянно се среща в Linux системите. За да се ускори измамата, процесът се извършва с причини от командния ред, наподобяващи законни параметри – да вземем за пример,lightdm -session child 11 19 – в опит да се избегне откриването и да се заблудят криминалистите по време на следствията след компрометирането.
Тези задни малки врати интензивно откриват връзки както с Raspberry Pi, по този начин и с вътрешния пощенски сървър.
Както беше маркирано по-рано, процесите са били прикрити благодарение на Linux bind mount. След това изобретение Group-IB добави техниката към фреймуърка MITRE ATT&CK като „ T1564.013 – Hide Artifacts: Bind Mounts. “
Group-IB не оповестява къде се намира компрометираното комутационно съоръжение и по какъв начин нападателите са съумели да слагат устройството Raspberry Pi. Атаката е била открита и прекъсната, преди UNC2891 да успее да реализира крайната си цел – да болести ATM комутационната мрежа със задната врата CakeTap.
Не се оповестява и какъв брой пари са откраднати от банкоматите на банката.
