Киберпреступность продолжает развиваться, демонстрируя всё большую изощрённость и смелость. Одна из недавних атак на финансовое учреждение стала ярким примером того, как злоумышленники способны объединить физический доступ, сложные цифровые атаки и техники сокрытия следов ради хищения средств через банкоматы. Попытка ограбления была остановлена до того, как злоумышленникам удалось нанести значительный ущерб, но инцидент продемонстрировал, насколько многоуровневыми могут быть современные угрозы.
Обнаружение атаки
Инцидент был зафиксирован благодаря специалистам из Group-IB, которые заметили подозрительную активность на сервере внутреннего мониторинга банка. В ходе расследования стало ясно, что в сеть банкоматов физически был подключён миниатюрный компьютер Raspberry Pi, замаскированный и оснащённый 4G-модемом.
Это устройство обеспечивало постоянный удалённый доступ злоумышленникам, позволяя им обходить защиту на периметре сети, включая настроенные брандмауэры. Через мобильную сеть Raspberry Pi создавала канал между внутренними системами банка и внешними киберпреступниками.
Ответственность за атаку возлагается на группировку UNC2891, также известную под именем LightBasin. Установлено, что злоумышленники получили физический доступ к банкоматной инфраструктуре – возможно, при помощи инсайдера – и незаметно установили устройство. В дальнейшем оно взаимодействовало с сервером мониторинга, принимая от него сигналы каждые 10 минут. С помощью судебно-экспертных методов специалисты смогли отследить эти передачи и установить местоположение злоумышленников.
Расширение доступа и маскировка
Преступники быстро расширили своё присутствие в сети, получив контроль над другими ключевыми системами, включая постоянно подключённый к интернету почтовый сервер. Эти системы взаимодействовали между собой, обеспечивая устойчивую инфраструктуру атаки даже при начавшейся ответной реакции банка.
Особого внимания заслуживает использование вредоносных бэкдоров, замаскированных под легитимный процесс Linux – lightdm. Эти файлы запускались из нестандартных директорий с реалистичными параметрами, что позволяло обходить автоматическое обнаружение подозрительной активности и затрудняло анализ.
Главной целью атаки было изменение процессов авторизации в банкоматах с целью хищения наличных. Для этого злоумышленники попытались внедрить модуль CAKETAP – специализированный руткит, известный по предыдущим атакам UNC2891.
CAKETAP разрабатывался для операционной системы Oracle Solaris и предназначался для изменения ответов от модуля аппаратной безопасности (HSM), ответственного за проверку PIN-кодов. Вредоносный код мог подменять данные авторизации, позволяя провести так называемые "replay-атаки" — повторное использование легитимных данных для одобрения фиктивных транзакций.
Предотвращение ущерба и рекомендации
Внедрение CAKETAP было пресечено до того, как удалось реализовать массовое изъятие наличности. Group-IB и их партнёры успели локализовать и нейтрализовать угрозу на ранней стадии.
По итогам инцидента эксперты рекомендуют банкам:
- внимательно отслеживать системные вызовы монтирования и размонтирования;
- блокировать или оповещать при попытке запуска исполняемых файлов из временных директорий вроде /tmp или /snapd;
- обеспечить физическую защиту сетевых портов и устройств, подключённых к банкоматам;
- при расследованиях инцидентов собирать не только данные с дисков, но и образы оперативной памяти — это существенно помогает выявлять сложные атаки.
