В поисках наживы: хакеры внедрили Raspberry Pi с поддержкой 4G в банковскую сеть

Хакеры из группировки UNC2891 предприняли попытку высокотехнологичного ограбления банка, физически разместив Raspberry Pi с поддержкой 4G внутри сети банкоматов. Они использовали продвинутое вредоносное ПО, скрытое с помощью ранее невиданной техники монтирования (bind mount) в Linux, чтобы избежать обнаружения. Как сообщает Ars Technica, эта уловка позволила вредоносному ПО работать аналогично руткиту, использующему продвинутые методы для сокрытия от операционной системы, на которой оно работает. Хотя план был раскрыт до того, как хакеры смогли захватить сервер коммутации банкоматов, тактика продемонстрировала новый уровень изощренности в кибер-физических атаках на финансовые учреждения.

Компания Group-IB, которая подробно описала атаку в своем отчете в среду, не сообщила, где находилось скомпрометированное коммутационное оборудование и как злоумышленникам удалось разместить Raspberry Pi. Ars Technica сообщает, что для поддержания устойчивости UNC2891 также скомпрометировал почтовый сервер, поскольку он имел постоянное подключение к Интернету. Raspberry Pi и бэкдор почтового сервера затем связывались друг с другом, используя сервер мониторинга банка в качестве посредника. Сервер мониторинга был выбран, потому что он имел доступ практически ко всем серверам в центре обработки данных.

В ходе первоначального исследования сети банка исследователи Group-IB заметили необычное поведение на сервере мониторинга, включая исходящий сигнальный маячок каждые 10 минут и повторяющиеся попытки подключения к неизвестному устройству. Затем исследователи использовали криминалистический инструмент для анализа коммуникаций. Инструмент идентифицировал конечные точки как Raspberry Pi и почтовый сервер, но не смог определить имена процессов, ответственных за передачу сигналов.

Затем исследователи захватили системную память во время отправки маячков. Анализ выявил процесс как lightdm – процесс, связанный с менеджером дисплеев LightDM с открытым исходным кодом. Процесс казался легитимным, но исследователи сочли его подозрительным, поскольку двоичный файл LightDM был установлен в необычном месте. После дальнейшего расследования исследователи обнаружили, что процессы пользовательского бэкдора были намеренно замаскированы в попытке сбить исследователей со следа.

Старший специалист Group-IB по цифровой криминалистике и реагированию на инциденты Нам Ле Фуонг (Nam Le Phuong) объяснил: "Процесс бэкдора намеренно затемняется злоумышленником посредством маскировки процессов. В частности, двоичный файл называется "lightdm", имитируя легитимный менеджер дисплеев LightDM, обычно встречающийся в системах Linux. Чтобы усилить обман, процесс выполняется с аргументами командной строки, напоминающими легитимные параметры – например, lightdm --session child 11 19 – в попытке избежать обнаружения и ввести в заблуждение криминалистических аналитиков в ходе послекомпрометированных расследований. Эти бэкдоры активно устанавливали соединения как с Raspberry Pi, так и с внутренним почтовым сервером."