- 19,444
- 40
- 8 Ноя 2022
Устройство с 4G-модемом подключили к ATM-коммутатору для удалённого доступа.
Хакеры установили внутри банковской сети мини-компьютер Raspberry Pi с модемом 4G, чтобы получить удалённый доступ к системе Для просмотра ссылки Войдиили Зарегистрируйся и попытаться похитить деньги. Об этом сообщили исследователи из компании Group-IB. По их словам, такая тактика позволила злоумышленникам полностью обойти защиту периметра и незаметно проникнуть в критическую инфраструктуру финансовой организации.
Устройство было подключено к тому же сетевому коммутатору, что и ATM-система, что фактически дало хакерам прямой доступ к внутренней сети банка. Конечной целью атаки было взломать сервер переключения банкоматов и получить контроль над аппаратным модулем безопасности — специализированным устройством, хранящим криптографические ключи и выполняющим операции шифрования и подписей.
За атакой стоит известная киберпреступная группа UNC2891, которая действует с 2017 года и специализируется на вторжениях в инфраструктуры банков с использованием кастомного вредоносного ПО под Linux, Unix и Solaris. Ранее специалисты Mandiant зафиксировали, как эта группа годами скрывалась внутри банковской сети, внедрив туда руткит CakeTap. Эта программа позволяла перехватывать сообщения внутри сети банкоматов, чтобы, по всей видимости, организовывать несанкционированные снятия наличных с фальшивых карт.
В новой атаке злоумышленники использовали ещё одну необычную технику — маскировку вредоноса с помощью Для просмотра ссылки Войдиили Зарегистрируйся , применяемого в системном администрировании Linux. Эта технология позволяет «привязывать» один каталог к другому, и в данном случае использовалась, чтобы скрыть следы присутствия вредоносного процесса, работающего под видом системного компонента LightDM. Программа притворялась законным процессом с параметрами запуска, похожими на настоящие, чтобы сбить с толку аналитиков при расследовании.
Кроме Raspberry Pi, группа также взломала почтовый сервер банка — именно он поддерживал постоянное соединение с интернетом. Оба устройства связывались через промежуточный сервер мониторинга, который имел доступ ко всем другим серверам в дата-центре. Именно подозрительная активность на этом сервере помогла исследователям Для просмотра ссылки Войдиили Зарегистрируйся аномалии и начать расследование. Один из сигналов — исходящие подключения каждые 10 минут к неизвестному устройству.
Форензика показала, что вредонос использовал технику сокрытия настолько эффективно, что даже продвинутые инструменты не могли определить, какой именно процесс инициировал соединение. Только анализ дампа оперативной памяти позволил найти маскирующийся процесс.
Эксперты уже добавили метод bind mount в базу Для просмотра ссылки Войдиили Зарегистрируйся под номером T1564.013. Несмотря на высокую сложность атаки, установить и обезвредить вредоносную инфраструктуру удалось до того, как хакеры достигли своей цели — внедрения руткита CakeTap в ATM-сеть. Однако инцидент стал наглядным примером того, как сочетание физического проникновения и продвинутых техник сокрытия позволяет обходить даже самые современные средства защиты.
Хакеры установили внутри банковской сети мини-компьютер Raspberry Pi с модемом 4G, чтобы получить удалённый доступ к системе Для просмотра ссылки Войди
Устройство было подключено к тому же сетевому коммутатору, что и ATM-система, что фактически дало хакерам прямой доступ к внутренней сети банка. Конечной целью атаки было взломать сервер переключения банкоматов и получить контроль над аппаратным модулем безопасности — специализированным устройством, хранящим криптографические ключи и выполняющим операции шифрования и подписей.
За атакой стоит известная киберпреступная группа UNC2891, которая действует с 2017 года и специализируется на вторжениях в инфраструктуры банков с использованием кастомного вредоносного ПО под Linux, Unix и Solaris. Ранее специалисты Mandiant зафиксировали, как эта группа годами скрывалась внутри банковской сети, внедрив туда руткит CakeTap. Эта программа позволяла перехватывать сообщения внутри сети банкоматов, чтобы, по всей видимости, организовывать несанкционированные снятия наличных с фальшивых карт.
В новой атаке злоумышленники использовали ещё одну необычную технику — маскировку вредоноса с помощью Для просмотра ссылки Войди
Кроме Raspberry Pi, группа также взломала почтовый сервер банка — именно он поддерживал постоянное соединение с интернетом. Оба устройства связывались через промежуточный сервер мониторинга, который имел доступ ко всем другим серверам в дата-центре. Именно подозрительная активность на этом сервере помогла исследователям Для просмотра ссылки Войди
Форензика показала, что вредонос использовал технику сокрытия настолько эффективно, что даже продвинутые инструменты не могли определить, какой именно процесс инициировал соединение. Только анализ дампа оперативной памяти позволил найти маскирующийся процесс.
Эксперты уже добавили метод bind mount в базу Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
