Heist a fost oprit înainte ca infractorii să poată face pagube semnificative
Redactor de luare: Acesta este un exemplu izbitor al modului în care combinația dintre compromisuri fizice, manipularea rețelei și subterfugiul tehnic este redimensionarea peisajului amenințării pentru bănci și alți furnizori de infrastructură critică. Incidentul evidențiază, de asemenea, importanța protocoalelor de securitate cuprinzătoare care abordează atât vectorii de atac digital, cât și cel fizic.
O tentativă de bancă recent descoperită recent ilustrează sofisticarea și îndrăzneala din ce în ce mai mare a operațiunilor cibernetice care vizează instituțiile financiare. Incidentul a implicat o combinație de intruziune fizică, malware avansat și măsuri anti-forensice pentru a permite retragerile frauduloase ale bancomatului din rețeaua unei bănci vizate.
Ancheta a început atunci când Group-IB a observat o activitate neobișnuită pe serverul de monitorizare intern al unei bănci. Analiza ulterioară a dus la descoperirea unui Raspberry PI conectat fizic la comutatorul de rețea ATM al băncii.
Echipat cu un modem celular 4G, acest dispozitiv a furnizat o punte între sistemele interne ale băncii și atacatorii externi, ocolind apărarea perimetrală a rețelei convenționale. Această configurație a oferit acces persistent la distanță prin intermediul datelor mobile, chiar dacă firewall -urile băncii au fost active și configurate strict.
Atacatorii, care au fost identificați ca UNC2891, care este cunoscut și sub numele de Lightbasin, au obținut inițial acces fizic la bancă – eventual prin propriile mijloace sau cu ajutorul unui insider – pentru a instala zmeura Pi sigură în infrastructura ATM. Odată pus la punct, dispozitivul a servit ca conductă, serverul de monitorizare internă încercând în mod repetat transmiterea datelor către Raspberry Pi în rețeaua locală la fiecare zece minute. Instrumentele criminalistice implementate de anchetatori au urmărit în cele din urmă aceste comunicări direct pe dispozitivul necinstit.
Atacatorii au reușit să se deplaseze lateral prin ruperea în alte sisteme esențiale, cum ar fi un server de poștă care a fost întotdeauna conectat la internet. Raspberry Pi și serverul de poștă, care comunică prin intermediul serverului de monitorizare, a extins poziția și rezistența atacatorilor, permițându -le să coordoneze acțiunile din rețea chiar și în timp ce banca a răspuns la atac.
O caracteristică distinctivă a atacului a fost utilizarea backdoors personalizate deghizate în „Lightdm” – un nume împrumutat dintr -un proces legitim de manager de afișare Linux. Aceste binare rău intenționate au fost plasate în mod intenționat în directoare neobișnuite și rulate cu parametri aparent autentici pentru a sustrage detectarea. Această tehnică anti-fronsică a subminat monitorizarea care s-a bazat pe verificarea metadatelor sistemului.
Scopul final al operațiunii a fost manipularea autorizației ATM și executarea retragerilor frauduloase de numerar. Pentru aceasta, grupul a încercat să instaleze un rootkit personalizat cunoscut sub numele de Caketap – o componentă malware analizată anterior de cercetătorii de amenințări care investighează UNC2891.
CakeTap este conceput pentru Oracle Solaris Systems și este proiectat pentru a modifica răspunsurile la modulul de securitate hardware de plată. Mai exact, interceptează cererile de verificare a pinului și, pentru tranzacții ilicite, înlocuiește datele legitime de autentificare, efectuând efectiv un atac de redare pentru a ocoli verificările de securitate și pentru a aproba retragerile frauduloase ale bancomatului.
Oricât de ingenios a fost, heistul a fost zădărnicit înainte de finalizarea celei mai dăunătoare fază. Grupul-IB și anchetatorii colaboratori au reușit să neutralizeze intruziunea și să prevină implementarea rootkit-ului Caketap înainte de a avea loc pierderi financiare semnificative.
Pentru a evita atacuri similare, Group-IB sfătuiește băncile să monitorizeze îndeaproape apelurile sistemului de montare și demoare, avertizând orice montare a /proc /(PID) către TMPFS sau sisteme de fișiere externe și blocarea sau semnalizarea fișierelor executabile lansate din directoare temporare precum /TMP sau /Snapd. De asemenea, aceștia subliniază importanța securizării fizice a porturilor de comutare a rețelei și a echipamentelor conectate la ATM și îndeamnă respondenții incidente să colecteze imagini de memorie, precum și date pe disc pentru a îmbunătăți detectarea și răspunsul la atacuri sofisticate.
