Хакеры из группы UNC2891 попытались совершить ограбление банка в сфере высоких технологий, физически поместив 4G Raspberry Pi в сеть банкоматов, используя расширенные вредоносное ПО, скрытое с невиданной ранее методикой крепления Linux для уклонения. Уловка позволила вредоносному ПО работать аналогично руткиту, который использует передовые методы, чтобы скрыться от операционной системы, в которой он работает. Хотя сюжет был раскрыт до того, как хакеры могли украсть сервер коммутации банкоматов, тактика продемонстрировала новый уровень сложности киберфизических атак на финансовые учреждения.
Целью атаки была компрометация внутренней инфраструктуры банка и попытка доступа к сети коммутации банкоматов для несанкционированного вывода средств.
Об инциденте сообщили исследователи из компании Group-IB, которые назвали этот подход “беспрецедентной тактикой”, позволившей полностью обойти защиту на периметре сети. Злоумышленники объединили физическое проникновение с удаленным вредоносным ПО, которое использовало новую, ранее невиданную технику сокрытия — Linux bind mount, типичный для ИТ-администрирования, но впервые примененный в хакерской деятельности. В результате, вредоносное ПО вело себя подобно руткиту — оно оставалось незаметным даже для сложных инструментов цифровой криминалистики.
Raspberry Pi был подключен напрямую к сетевому коммутатору, который использовался системой банкоматов. Таким образом устройство оказалось внутри внутренней сети банка.
Задачей злоумышленников было-компрометировать сервер коммутации банкоматов (ATM switching server) и получить контроль над модулем аппаратной безопасности (HSM) — устройством, хранящим ключи, сертификаты и выполняющим криптографические операции.
За этой атакой стоит группировка, известная в индустрии как UNC2891-финансово мотивированная группа, действующая по меньшей мере с 2017 года и специализирующаяся на атаках на банковские системы. Их арсенал включает высокоспециализированное вредоносное ПО для Linux, Unix и Solaris.
Предыдущие атаки: CakeTap, SlapStick, TinyShell
В 2022 году аналитики из Mandiant (подразделение Google) сообщили, что UNC2891 может оставаться в сети жертвы в течение многих лет, оставаясь незамеченным. Их вредоносное ПО CakeTap нацеливалось на Solaris — в частности-на перехват и изменение трафика в сети коммутации банкоматов, что позволяло проводить мошеннические операции с фальшивыми картами.
Кроме того, были зафиксированы другие образцы по: SlapStick и TinyShell, позволявшие сохранять устойчивое присутствие в системе и выполнять команды удаленно.
Современная атака: физический доступ, бэкдор на сервере и скрытие через bind mount
Group-IB подтвердила, что UNC2891 все еще активен, постоянно совершенствует свои методы и использует сложные методы обхода защиты.
«Одной из наиболее необычных особенностей было использование физического доступа для подключения Raspberry Pi к коммутатору, обслуживающему банкоматы. Благодаря модему 4G это устройство имело удаленный доступ через мобильную сеть»,-объясняет нам Ле Фуонг, старший специалист Group-IB по цифровой криминалистике.
Чтобы обеспечить постоянное присутствие в сети, злоумышленники также взломали почтовый сервер, который имел стабильное подключение к интернету. Raspberry Pi и бэкдор на почтовом сервере использовали сервер мониторинга банка в качестве посредника для коммуникации. Этот сервер имел доступ практически ко всей инфраструктуре дата-центра.
Как обнаружили атаку
Во время первоначального анализа инфраструктуры банка, исследователи заметили аномальные действия на сервере мониторинга:
- передача сигналов с интервалом в 10 минут,
- постоянные попытки соединения с неизвестным устройством.
Форензика показала, что соединения устанавливались между Raspberry Pi и почтовым сервером, однако идентифицировать названия процессов, отвечавших за трафик, не удалось.
После снимка памяти был обнаружен процесс под названием lightdm — типичный дисплей-менеджер в Linux. Но его местоположение в файловой системе было необычным. Дополнительное исследование выявило, что это маскировка вредоносного ПО под легитимный процесс.
«Процесс lightdm имел командные параметры, имитирующие истинные-например: lightdm-session child 11 19 — чтобы избежать обнаружения во время анализа”, — объясняет Фуонг.
Еще одним открытием стало использование техники Linux bind mount для маскировки вредоносного кода. Это позволило бэкдору действовать аналогично rootkit, скрываясь от системы и антивирусов.
После этого Group-IB предложила включить данную технику в MITRE ATT&CK Framework под новым кодом T1564.013 – Hide Artifacts: Bind Mounts.
Group-IB не сообщила, где именно располагалось сломанное оборудование, и как злоумышленники получили физический доступ к сети. Однако, по словам компании, атаку удалось остановить до того, как UNC2891 реализовала основную цель — заражение сервера коммутации банкоматов бэкдором CakeTap.
