Lightbasin olarak da bilinen UNC2891 hackleme grubu, yeni keşfedilen bir saldırıda güvenlik savunmalarını atlamak için bir bankanın ağında gizlenmiş 4G donanımlı bir Raspberry Pi kullandı.
Tek tahtalı bilgisayar, Fiziksel olarak ATM Ağ Anahtarına bağlandı ve bankanın dahili ağına görünmez bir kanal oluşturdu ve saldırganların yanal olarak hareket etmesine ve arka fırınları dağıtmasına izin verdi.
Ağdaki şüpheli faaliyetleri araştırırken saldırıyı keşfeden Grup-IB’ye göre, saldırının amacı ATM yetkisini istiflemek ve hileli nakit para çekme işlemleri yapmaktı.
Lightbasin bu konuda başarısız olsa da, olay, yüksek derecede gizliliği korumak için birkaç anti-firma tekniği kullanan gelişmiş bir hibrit (fiziksel+uzaktan erişim) saldırısının nadir bir örneğidir.
Belirli bir grup, finans sektöründe kullanılan Oracle Solaris sistemlerinde koşmak için oluşturulan yeni Unix çekirdek köklü “Caketap” ı sunan 2022 raporunda vurgulandığı gibi, bankacılık sistemlerine saldırmakla ünlüdür.
CAKETAP, bankanın sistemlerinin başka türlü engelleyeceği hileli işlemlere izin vermek için ödeme donanım güvenlik modülü (HSM) yanıtlarını, özellikle de kart doğrulama mesajlarını manipüle eder.
2016’dan beri aktif olan Lightbasin, trafiği ağlar arasında hareket ettirmek ve belirli mobil istasyonlardan yönlendirmek için Tinyshell açık kaynaklı arka kapıyı kullanarak yıllarca telekomünikasyon sistemlerine başarılı bir şekilde saldırdı.
Ahududu $ i
En son durumda, Lightbasin bir banka şubesine kendi başlarına veya ATM ile aynı ağ anahtarında bir 4G modemi olan bir ahududu Pi kurmalarına yardımcı olan haydut bir çalışana rüşvet vererek fiziksel erişim elde etti.
Cihazın giden İnternet bağlantı özellikleri, saldırganların çevre güvenlik duvarlarını atlarken bankanın dahili ağına kalıcı uzaktan erişimi sürdürmesini sağladı.
Raspberry Pi, saldırganın mobil veriler aracılığıyla giden bir komut ve kontrol (C2) kanalı oluşturmak için kullandığı Tinyshell arka kapısına ev sahipliği yaptı.
Saldırının sonraki aşamalarında, tehdit aktörleri yanal olarak banka veri merkezine geniş bir bağlantıya sahip olan ağ izleme sunucusuna taşındı.
.jpg)
Kaynak: Grup-Ib
Oradan, saldırgan aynı zamanda doğrudan internet erişimi olan posta sunucusuna döndü ve Raspberry Pi keşfedildiğinde ve kaldırıldığında bile kalıcılığı sağladı.
Yanal harekette kullanılan arka kapı, Linux sistemlerinde bulunan meşru LightDM ekran yöneticisini taklit etmek için ‘LightDM’ olarak adlandırıldı, böylece dayanılmaz görünüyor.
Saldırının yüksek derecede gizliliğine katkıda bulunan bir diğer unsur, ‘/Proc/[pid]’Kötü niyetli işlemlerin yolları, esasen adli tıp araçlarından ilgili meta verileri gizler.
Grup-IB’nin araştırmasına dayanarak, banka ağı içindeki ağ izleme sunucusunun, 600 saniyede bir 929 bağlantı noktasındaki Raspberry Pi’ye işaret ettiği bulundu, bu da cihazın bir pivot ana bilgisayar olarak hizmet verdiğini gösterdi.
Araştırmacılar, saldırganların nihai hedefinin Caketap rootkitini dağıtmak olduğunu, ancak bu planın gerçekleşmeden önce engellendiğini söylüyor.
İşinizi etkilemeden önce gerçek zamanlı olarak ortaya çıkan tehditleri içerir.
Bulut algılama ve yanıtının (CDR) güvenlik ekiplerine bu pratik, saçma rehberde ihtiyaç duydukları avantajı nasıl verdiğini öğrenin.