Хакери з групи UNC2891 намагалися здійснити високотехнологічне пограбування банку, фізично посадивши 4G Raspberry Pi всередині мережі банкоматів, використовуючи вдосконалені зловмисне програмне забезпечення, приховане з ніколи не баченою методикою кріплення Linux для ухилення. Трюк дозволив зловмисному програмному забезпеченні працювати аналогічно руткіту, який використовує передові методи, щоб сховатися від операційної системи, в якій він працює. Незважаючи на те, що сюжет був розкритий до того, як хакери могли викрасти сервер комутації банкоматів, тактика демонструвала новий рівень витонченості в кіберфізичних атаках на фінансові установи.
Метою атаки була компрометація внутрішньої інфраструктури банку та спроба доступу до мережі комутації банкоматів задля несанкціонованого виведення коштів.
Про інцидент повідомили дослідники з компанії Group-IB, які назвали цей підхід “безпрецедентною тактикою”, що дозволила повністю обійти захист на периметрі мережі. Зловмисники поєднали фізичне проникнення з віддаленим шкідливим ПЗ, яке використовувало нову, раніше не бачену техніку приховування — Linux bind mount, типовий для ІТ-адміністрування, але вперше застосований у хакерській діяльності. У результаті, шкідливе ПЗ поводилось подібно до руткіту — воно залишалося непомітним навіть для складних інструментів цифрової криміналістики.
Raspberry Pi було підключено безпосередньо до мережевого комутатора, який використовувався системою банкоматів. Таким чином пристрій опинився всередині внутрішньої мережі банку.
Завданням зловмисників було — компрометувати сервер комутації банкоматів (ATM switching server) і отримати контроль над модулем апаратної безпеки (HSM) — пристроєм, що зберігає ключі, сертифікати та виконує криптографічні операції.
За цією атакою стоїть угруповання, відоме в індустрії як UNC2891 — фінансово мотивована група, що діє щонайменше з 2017 року та спеціалізується на атаках на банківські системи. Їхній арсенал включає високоспеціалізоване шкідливе ПЗ для Linux, Unix і Solaris.
Попередні атаки: CakeTap, SlapStick, TinyShell
У 2022 році аналітики з Mandiant (підрозділ Google) повідомляли, що UNC2891 могла перебувати в мережі жертви роками, залишаючись непоміченою. Їхнє шкідливе ПЗ CakeTap націлювалось на Solaris, зокрема — на перехоплення та зміну трафіку в мережі комутації банкоматів, що дозволяло проводити шахрайські операції з фальшивими картками.
Крім того, були зафіксовані інші зразки ПЗ: SlapStick та TinyShell, що дозволяли зберігати стійку присутність у системі та виконувати команди віддалено.
Сучасна атака: фізичний доступ, бекдор на сервері і приховування через bind mount
Group-IB підтвердила, що UNC2891 досі активна, постійно вдосконалює свої методи та використовує складні техніки обходу захисту.
“Однією з найбільш незвичних особливостей було використання фізичного доступу для підключення Raspberry Pi до комутатора, що обслуговує банкомати. Завдяки 4G-модему цей пристрій мав віддалений доступ через мобільну мережу”, — пояснює Нам Ле Фуонг, старший фахівець Group-IB з цифрової криміналістики.
Щоб забезпечити постійну присутність у мережі, зловмисники також зламали поштовий сервер, який мав стабільне підключення до Інтернету. Raspberry Pi і бекдор на поштовому сервері використовували сервер моніторингу банку як посередника для комунікації. Цей сервер мав доступ практично до всієї інфраструктури дата-центру.
Як виявили атаку
Під час початкового аналізу інфраструктури банку, дослідники помітили аномальні дії на сервері моніторингу:
- передача сигналів з інтервалом у 10 хвилин,
- постійні спроби з’єднання з невідомим пристроєм.
Форензика показала, що з’єднання встановлювались між Raspberry Pi і поштовим сервером, однак ідентифікувати назви процесів, що відповідали за трафік, не вдалося.
Після знімку пам’яті було виявлено процес із назвою lightdm — типовий дисплей-менеджер у Linux. Але його місцезнаходження в файловій системі було незвичним. Додаткове дослідження виявило, що це маскування шкідливого ПЗ під легітимний процес.
“Процес lightdm мав командні параметри, що імітують справжні — наприклад: lightdm –session child 11 19 — щоб уникнути виявлення під час аналізу”, — пояснює Фуонг.
Ще одним відкриттям стало використання техніки Linux bind mount для маскування шкідливого коду. Це дозволило бекдору діяти аналогічно rootkit, приховуючись від системи та антивірусів.
Після цього Group-IB запропонувала включити дану техніку до MITRE ATT&CK Framework під новим кодом T1564.013 – Hide Artifacts: Bind Mounts.
Group-IB не повідомила, де саме розташовувалось зламане обладнання, і як зловмисники отримали фізичний доступ до мережі. Однак, за словами компанії, атаку вдалося зупинити до того, як UNC2891 реалізувала основну мету — зараження серверу комутації банкоматів бекдором CakeTap.
