Финансово мотивированная хакерская группа UNC2891 провела сложную киберфизическую атаку на инфраструктуру банкоматов одного из банков. Злоумышленники получили физический доступ к помещениям, чтобы установить модифицированное устройство Raspberry Pi с 4G-модемом, проникнуть во внутреннюю сеть в обход брандмауэров и развернуть руткит CAKETAP для осуществления мошеннических операций по снятию наличных. Атака была прервана до нанесения серьезного финансового ущерба.
Начальный этап атаки заключался в физическом проникновении. Злоумышленник установил Raspberry Pi, оснащенный 4G-модемом, и подключил его напрямую к тому же сетевому коммутатору, который использовал один из банкоматов. Это действие позволило устройству хакеров оказаться непосредственно внутри внутренней сети банка. На данный момент неизвестно, каким образом злоумышленники получили физический доступ, необходимый для этого шага.
После установки оборудования хакеры использовали бэкдор TINYSHELL для создания исходящего канала управления и контроля (C2) через домен динамического DNS. Встроенный 4G-модем обеспечил удаленный доступ через мобильную сеть. Такая схема позволила полностью обойти периметральные брандмауэры и традиционные средства сетевой защиты, предоставив атакующим постоянный внешний доступ к внутренней инфраструктуре банка.
Конечной целью UNC2891 была установка руткита CAKETAP на сервер коммутации банкоматов. CAKETAP — это руткит уровня ядра, разработанный для выполнения двух основных функций. Во-первых, он скрывает сетевые подключения, процессы и файлы, связанные с его работой. Во-вторых, он перехватывает и подделывает сообщения о проверке карты и PIN-кода, поступающие от аппаратных модулей безопасности (HSM), чтобы авторизовать мошеннические снятия наличных.
Даже после того, как Raspberry Pi был обнаружен и удален, злоумышленники сохранили доступ к сети. Они предусмотрительно установили отдельный бэкдор на внутренний почтовый сервер, обеспечив себе резервный канал для продолжения атаки. Этот факт демонстрирует высокий уровень планирования и нацеленность группы на долгосрочное присутствие в скомпрометированной системе.
Анализ инцидента, проведенный сингапурской компанией Group-IB, выявил еще один компонент атаки. На сервере мониторинга сети был обнаружен бэкдор под названием "lightdm". Этот инструмент был предназначен для установления активных соединений как с Raspberry Pi, так и с внутренним почтовым сервером, служа центральным узлом для поддержания постоянного доступа и координации действий внутри сети.
По данным исследователя безопасности Group-IB Нам Ле Фуонга, для маскировки своей деятельности злоумышленники использовали технически сложный метод. Бэкдор "lightdm" злоупотреблял функцией монтирования (
Группа UNC2891, впервые задокументированная принадлежащей Google компанией Mandiant в марте 2022 года, обладает обширными знаниями операционных систем на базе Linux и Unix. Ее деятельность демонстрирует тактические совпадения с другой известной группой, UNC1945, также известной как LightBasin. Эта связанная группировка специализируется на атаках на поставщиков управляемых услуг, финансовый сектор и консалтинговые компании.
Изображение носит иллюстративный характер
Начальный этап атаки заключался в физическом проникновении. Злоумышленник установил Raspberry Pi, оснащенный 4G-модемом, и подключил его напрямую к тому же сетевому коммутатору, который использовал один из банкоматов. Это действие позволило устройству хакеров оказаться непосредственно внутри внутренней сети банка. На данный момент неизвестно, каким образом злоумышленники получили физический доступ, необходимый для этого шага.
После установки оборудования хакеры использовали бэкдор TINYSHELL для создания исходящего канала управления и контроля (C2) через домен динамического DNS. Встроенный 4G-модем обеспечил удаленный доступ через мобильную сеть. Такая схема позволила полностью обойти периметральные брандмауэры и традиционные средства сетевой защиты, предоставив атакующим постоянный внешний доступ к внутренней инфраструктуре банка.
Конечной целью UNC2891 была установка руткита CAKETAP на сервер коммутации банкоматов. CAKETAP — это руткит уровня ядра, разработанный для выполнения двух основных функций. Во-первых, он скрывает сетевые подключения, процессы и файлы, связанные с его работой. Во-вторых, он перехватывает и подделывает сообщения о проверке карты и PIN-кода, поступающие от аппаратных модулей безопасности (HSM), чтобы авторизовать мошеннические снятия наличных.
Даже после того, как Raspberry Pi был обнаружен и удален, злоумышленники сохранили доступ к сети. Они предусмотрительно установили отдельный бэкдор на внутренний почтовый сервер, обеспечив себе резервный канал для продолжения атаки. Этот факт демонстрирует высокий уровень планирования и нацеленность группы на долгосрочное присутствие в скомпрометированной системе.
Анализ инцидента, проведенный сингапурской компанией Group-IB, выявил еще один компонент атаки. На сервере мониторинга сети был обнаружен бэкдор под названием "lightdm". Этот инструмент был предназначен для установления активных соединений как с Raspberry Pi, так и с внутренним почтовым сервером, служа центральным узлом для поддержания постоянного доступа и координации действий внутри сети.
По данным исследователя безопасности Group-IB Нам Ле Фуонга, для маскировки своей деятельности злоумышленники использовали технически сложный метод. Бэкдор "lightdm" злоупотреблял функцией монтирования (
bind mounts) в операционной системе, чтобы скрыть свое присутствие из списков запущенных процессов, что позволяло ему избегать обнаружения стандартными средствами мониторинга. Группа UNC2891, впервые задокументированная принадлежащей Google компанией Mandiant в марте 2022 года, обладает обширными знаниями операционных систем на базе Linux и Unix. Ее деятельность демонстрирует тактические совпадения с другой известной группой, UNC1945, также известной как LightBasin. Эта связанная группировка специализируется на атаках на поставщиков управляемых услуг, финансовый сектор и консалтинговые компании.
