Хакеры внедрили мини-компьютер Raspberry Pi, оснащённый 4G-модемом, в сеть одного из банков с целью получить удалённый доступ к инфраструктуре банкоматов и похитить деньги. Как сообщает компания Group-IB, которая расследовала инцидент, злоумышленники смогли полностью обойти традиционные меры периметровой защиты за счёт физического доступа к оборудованию и применения нестандартных методов маскировки вредоносного ПО.
По информации Group-IB, атака включала установку устройства в тот же сетевой коммутатор, который обслуживает банкоматную систему банка. Таким образом, Raspberry Pi оказался внутри внутренней сети и получил прямой доступ к ATM-инфраструктуре. Целью киберпреступников было внедрение в сервер, отвечающий за маршрутизацию операций банкоматов, а также попытка вмешательства в работу аппаратного модуля безопасности (Hardware Security Module, HSM), который используется для хранения цифровых ключей и выполнения операций шифрования.
Вредоносное ПО, установленное на устройстве, использовало технику Linux bind mount — административный инструмент, ранее не применявшийся злоумышленниками. Этот метод позволил вредоносу вести себя как руткит, скрывая своё присутствие даже от продвинутых средств анализа и криминалистики.
Атака приписывается группе UNC2891, которая действует с как минимум 2017 года и специализируется на сложных операциях против банков. Эта группировка известна своими наработками под Linux, Unix и Oracle Solaris. В 2022 году эксперты Mandiant (подразделение Google) сообщали, что UNC2891 могла находиться в инфраструктуре одной из целей годами, оставаясь незамеченной. Тогда же были задокументированы вредоносы CakeTap, SlapStick и TinyShell. CakeTap, в частности, позволял перехватывать сообщения в ATM-сетях для несанкционированного снятия наличных по поддельным картам.
В последнем отчёте Group-IB подчёркивается, что UNC2891 продолжает действовать и применяет всё более сложные методы проникновения. Как отмечает старший специалист по цифровой криминалистике Nam Le Phuong, одним из наиболее необычных моментов стало физическое размещение устройства в сети банка: «Raspberry Pi с 4G-модемом был подключён к тому же коммутатору, что и банкоматы, что дало хакерам прямой удалённый доступ через мобильную сеть».
Оригинал публикации на сайте CISOCLUB: "Хакеры установили Raspberry Pi с 4G-модемом внутри банковской сети".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.