Χάκερς τοποθέτησαν ένα Raspberry Pi εξοπλισμένο με μόντεμ 4G στο δίκτυο μιας ανώνυμης τράπεζας, σε μια προσπάθεια να αποσπάσουν χρήματα από το σύστημα ATM του χρηματοπιστωτικού ιδρύματος, ανέφεραν ερευνητές την Τετάρτη.
Ερευνητές ασφαλείας από την Group-IB, ανακάλυψαν μια άνευ προηγουμένου τακτική, που επέτρεπε σε εισβολείς να παρακάμπτουν εντελώς τις περιμετρικές άμυνες των τραπεζικών συστημάτων. Οι hackers συνδύαζαν την φυσική εισβολή με κακόβουλο λογισμικό απομακρυσμένης πρόσβασης, μαζί με μια τεχνική απόκρυψης, που καθιστά το όλο σύστημα κρυμμένο ακόμα και από τα πιο εξελιγμένα εγκληματολογικά εργαλεία.
Η τεχνική, γνωστή ως Linux bind mount, χρησιμοποιείται στη διαχείριση IT, αλλά δεν είχε χρησιμοποιηθεί ποτέ για κακόβουλους σκοπούς. Με αυτό το κόλπο, οι hackers είχαν την δυνατότητα να επιτρέψουν στο κακόβουλο λογισμικό να λειτουργεί σαν rootkit, το οποίο χρησιμοποιεί προηγμένες τεχνικές για να αποκρυφθεί από το λειτουργικό σύστημα στο οποίο εκτελείται.
Το Raspberry Pi ήταν συνδεδεμένο στο ίδιο switch του δικτύου που χρησιμοποιείται από το σύστημα ATM της τράπεζας, που σημαίνει πως ήταν τοποθετημένο στο εσωτερικό δίκτυο της τράπεζας. Το Raspberry Pi είχε στόχο να παραβιάσει τον διακομιστή μεταγωγής ATM και να πάρει τον έλεγχο, ώστε να μπορούν να χειραγωγήσουν την μονάδα ασφαλείας υλικού της τράπεζας. Αυτό είναι μια φυσική συσκευή, ανθεκτική σε παραβιάσεις, που χρησιμοποιείται για την αποθήκευση μυστικών όπως διαπιστευτήρια και ψηφιακές υπογραφές και την εκτέλεση λειτουργιών κρυπτογράφησης και αποκρυπτογράφησης.
Η ομάδα hackers πίσω από τις εν λόγω επιθέσεις έχει το όνομα UNC2891. Αυτή η ομάδα δραστηριοποιείται από το 2017 και στοχεύει συστήματα για την κλοπή χρημάτων. Έτσι, οι στόχοι τους είναι κυρίως τράπεζες και χρηματοπιστωτικές υπηρεσίες. Η ομάδα έχει κερδίσει τη φήμη της, για τη δημιουργία κακόβουλου λογισμικού σε επιθέσεις που στοχεύουν συστήματα Windows, Linux, Unix και Solaris.
Το 2022, το τμήμα Mandiant της Google δήλωσε ότι είχε παρατηρήσει την UNC2891 να παραμένει για χρόνια μέσα σε ένα στοχευμένο δίκτυο, κατά τη διάρκεια του οποίου η εισβολή πέρασε σε μεγάλο βαθμό απαρατήρητη. Οι ερευνητές της Mandiant συνέχισαν να εντοπίζουν το CakeTap, ένα προσαρμοσμένο rootkit για συστήματα Solaris. Μεταξύ άλλων, το CakeTap χειραγωγούσε μηνύματα που περνούσαν από ένα μολυσμένο δίκτυο μεταγωγής ATM, πιθανότατα για χρήση σε μη εξουσιοδοτημένες αναλήψεις μετρητών χρησιμοποιώντας πειραγμένες τραπεζικές κάρτες. Η Mandiant κατέγραψε δύο άλλα προσαρμοσμένα κομμάτια κακόβουλου λογισμικού, τα οποία η εταιρεία ονόμασε SlapStick και TinyShell.
Η έκθεση του Group-IB την Τετάρτη δείχνει ότι η UNC2891 εξακολουθεί να είναι ενεργή και να βρίσκει νέους και προηγμένους τρόπους για να εισχωρεί σε τραπεζικά δίκτυα χωρίς να εντοπίζεται.
«Ένα από τα πιο ασυνήθιστα στοιχεία αυτής της υπόθεσης ήταν η χρήση φυσικής πρόσβασης από τον εισβολέα για την εγκατάσταση μιας συσκευής Raspberry Pi», έγραψε ο Nam Le Phuong, Senior Digital Forensics and Incident Response Specialist του Group-IB. «Αυτή η συσκευή ήταν συνδεδεμένη απευθείας στο ίδιο switch με το ΑΤΜ, τοποθετώντας το ουσιαστικά μέσα στο εσωτερικό δίκτυο της τράπεζας. Το Raspberry Pi ήταν εξοπλισμένο με μόντεμ 4G, επιτρέποντας απομακρυσμένη πρόσβαση μέσω δεδομένων κινητής τηλεφωνίας».
Ψάξε online το επώνυμό σου! Κάτι θα μάθεις… Η δωρεάν πλατφόρμα
Η συσκευή με κάποιο τρόπο εγκαταστάθηκε είτε από την ίδια την ομάδα, είτε μέσω κάποιου συνεργού τους στην τράπεζα. Το μεγάλο ερώτημα είναι πως κατάφερε κάποιος να μπει στην εσωτερική δομή της τράπεζας, ώστε να τοποθετήσει την συσκευή.
Με αυτό τον τρόπο, οι hackers είχαν τον έλεγχο πρακτικά όλου του δικτύου, αποκτώντας πρόσβαση σε διάφορους κρίσιμους servers, όπως οι mail servers.
Έτσι, με το Raspbbery Pi οι hackers μπορούσαν να παρακάμπτουν την ταυτοποίηση των χρηστών στα ATM, οπότε και σήκωναν χρήματα χωρίς να γνωρίζουν το PIN, ενώ έδιναν και εγκρίσεις για πλαστές αναλήψεις.
Αυτό δείχνει πως είναι καθαρά θέμα τον τραπεζών να προστατεύσουν τα δίκτυά τους και τα ίδια τα ATM, κάτι που αν και το θεωρούμε δεδομένο, δεν συμβαίνει πάντα.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
