Неудавшееся ограбление банкомата: Хакеры использовали 4G Raspberry Pi

В высокотехнологичном повороте старомодного ограбления банка группа опытных хакеров установила Raspberry Pi с поддержкой 4G внутри внутренней сети банка в попытке ограбить его банкоматы. Но благодаря бдительным следователям ограбление было остановлено вовремя, прежде чем был причинен какой-либо финансовый ущерб.

Компания по кибербезопасности Group-IB обнаружила сложную попытку вторжения группировки UNC2891 (также известной как LightBasin), финансово мотивированной угрозы, известной своими атаками на банки и телекоммуникационные системы по всему миру с 2016 года. На этот раз, однако, группа продемонстрировала новый уровень операционной сложности.

Физическое вторжение встречает цифровое вмешательство

В центре атаки находился Raspberry Pi — компьютер размером с кредитную карту, оснащенный 4G модемом. Это устройство было физически установлено на том же сетевом коммутаторе, что и система банкоматов, обходя брандмауэры банка и периметральные защиты через мобильные данные. Оно хранило вредоносное ПО и служило узлом управления для злоумышленников, позволяя им незаметно углубляться в сеть.

Group-IB подозревает, что хакеры либо сами проникли на территорию, либо подкупили инсайдера, чтобы установить устройство.

Сеть под осадой

Оказавшись внутри, устройство хранило бэкдор TinyShell, который установил постоянный канал управления (C2) с использованием динамического DNS.

С компрометированного коммутатора злоумышленники переместились к серверу мониторинга сети, критической системе с подключениями к почти каждому другому серверу в дата-центре банка. Как только он оказался под их контролем, они использовали его для доступа к почтовому серверу, который имел прямой доступ в интернет. Даже если Raspberry Pi был бы обнаружен, у них был резервный маршрут, чтобы сохранить свое присутствие.

Чтобы избежать обнаружения, злоумышленники использовали не задокументированную антивирусную технику Linux с использованием привязанных точек монтирования (теперь признанных в MITRE ATT&CK T1564.013), чтобы скрыть вредоносные процессы.

Бэкдор был замаскирован под легитимный системный процесс с именем lightdm — известный дисплейный менеджер Linux, и выполнялся из нестандартных путей, таких как /tmp/lightdm.

Еще одним фактором, способствующим высокой степени скрытности атаки, было то, что LightBasin монтировал альтернативные файловые системы (такие как tmpfs и ext4) поверх критических системных путей, успешно скрывая данные процесса бэкдора от стандартных судебно-медицинских инструментов.

Целью злоумышленников было установить пользовательский руткит под названием CAKETAP на сервере переключения банкоматов банка — критической системе, которая взаимодействует с модулем аппаратной безопасности (HSM) банка, устройством, которое авторизует транзакции банкоматов, позволяя хакерам подделывать авторизацию банкоматов для мошеннических снятий и потенциально выводить крупные суммы наличных.

К счастью, Group-IB обнаружила операцию до того, как это могло быть достигнуто.

Сигнал тревоги для банковского сектора

Инцидент является редким, но пугающим примером того, как киберпреступники смешивают физический доступ с удаленной эксплуатацией, что делает их как трудно обнаруживаемыми, так и сложными для сдерживания.

Group-IB призывает финансовые учреждения укрепить как свою физическую, так и цифровую безопасность, с рекомендациями, такими как:

• Ограничение физического доступа к сетевым коммутаторам, особенно рядом с инфраструктурой банкоматов.
• Мониторинг необычной активности файловой системы, особенно монтирования /proc
• Захват образов памяти во время реагирования на инциденты — не только снимков диска.
• Блокировка или пометка бинарных файлов, которые выполняются из подозрительных путей, таких как /tmp или .snapd.

Этот инцидент подчеркивает, как устройство с низкой стоимостью, такое как Raspberry Pi, может обойти миллионные защиты, если физический доступ будет упущен. Это яркое напоминание о том, что цифровая защита должна учитывать и физические уязвимости — потому что даже небольшое оборудование может представлять серьезную угрозу, если окажется в неправильных руках.