Siber Salon, Finans ve Bankacılık, Sahtekarlık Yönetimi ve Siber Suç
Koşucular, cihazı banka ağına bağlamak için işe alındı ve uzaktan saldırıları kolaylaştırdı
Mathew J. Schwartz (Euroinfosec) •
31 Temmuz 2025

Bankaların ağlarına hacklenmenin kanıtlanmış bir geçmişine sahip suçlular, cephaneliğine yeni bir başlangıç erişim aracı ekledi: dünyanın en küçük hobi bilgisayarı.
Ayrıca bakınız: 2024 Sahtekarlık Anlaşmaları Raporu
Siber güvenlik firması Grup-Ib, UNC2891 olarak izlenen bir siber suç grubunu Asya-Pasifik bölgesinde bir banka soygununa bağladı ve saldırganlar, 4G özellikli bir ahududu pi’yi bankanın ATM’lerinden birine bağlı bir ağ anahtarına fiziksel olarak kurdu ve iç BT ortamına uzaktan erişim sağladı.
Grup-IB’den bir rapor, “Bu benzeri görülmemiş taktik, saldırganların çevre savunmalarını tamamen atlamasına izin verdi” diyor. Saldırganlar ayrıca, bir dosya veya dizinden diğerine bir dosya veya dizin eşleştiren Linux Bind Mounts’ı kötüye kullanma gibi, Windows kısayollarına benzer şekilde, “etkinliklerini gizlemek, gizli yanal hareketleri ve ATM anahtarlama sunucuları da dahil olmak üzere kritik sistemlere kalıcı erişim gibi ormanlık karşıtı taktikler kullandılar.
Grup-IB, finansal olarak motive edilen grubun en azından Kasım 2017’den beri aktif olduğunu ve Linux ve Unix tabanlı sistemlerin yanı sıra Oracle Solaris ortamlarının yanı sıra Oracle Solaris ortamlarında “derin teknik uzmanlık” gösterdiğini söyledi. UNC2891 düzenli olarak çeşitli özel kötü amaçlı yazılım araçlarını kullandı, ancak araştırmacılar ilk erişim taktiklerinin genellikle belirsiz olduğunu söylediler.
Bu durumda, para katırlarının yetkilendirilmeden ATM’lerden nakit para çekmesine izin vermek için tasarlanmış nakit atış saldırılarına başlangıç olan olağanüstü gizli çaba, tespit edildi ve engellendi.
Saldırı bu yılın ilk çeyreğinde meydana geldi. Raporu yazan Grup-IB üst düzey dijital adli tıp ve olay müdahale uzmanı Nam Le Phuong, “Devam eden bir soruşturma nedeniyle belirli bir ülkeyi açıklayamayız, ancak saldırganların bölgeye yerel olmadığını doğrulayabiliriz.” Dedi.
Bilgi Güvenlik Media Group’a verdiği demeçte, “araştırmalarımıza dayanarak, UNC2891, aracı ATM makinesine fiziksel olarak dikmek için koşuculara ödeme yapan” hackleme çabasını kolaylaştırmak için. “4G modeminin erişim kökenini izleyemedik.”
Böyle bir saldırı yürütmek için gereken donanımın pahalı olması gerekmez. Bir Raspberry Pi 4’ün maliyeti 35 $ ve üstü, bir modem kiti 140 $ karşılığında alınabilir.
Yanıt verenler, suçluların bankanın ağını Tinyshell arka kapı ile enfekte ettiklerini ve onlara dinamik bir DNS alanı aracılığıyla bir komut ve kontrol sunucusuna giden bir kanal verdiğini buldular. “Bu kurulum, ATM ağına sürekli harici erişim sağladı, çevre güvenlik duvarlarını ve geleneksel ağ savunmalarını tamamen atladı.”
Grup genellikle bir kurbanın sistemlerini, şifreli bir HTTP proxy aracılığıyla iletişim sağlamak için ayarladığı “halka açık Tinyshell arka kapısının özel bir varyantıyla” bulaşmaya çalışır ve genellikle meşru Unix veya Linux hizmetlerine benzemek için yeniden adlandırarak gizlenmeye çalışır.
Dijital adli araştırmacılar, saldırganların veri merkezindeki neredeyse diğer tüm sunuculara bağlı olan ve bankanın ATM anahtarlama sunucusuna ulaşmak için yanal olarak hareket etmeye ve donanım güvenlik modülü yanıtlarını manipüle etmek için bir rootkit dağıtmaya çalıştıklarını ve “homodu ATM çekilmelerini kolaylaştırmak için yetkilendirme mesajları” yapmalarını sağladığını buldular.
Gelişmiş ve kalıcı
UNC2891, bankaların ağlarını çeşitli şekillerde hacklemeye çalışmanın uzun bir geçmişine sahiptir. Tehdit Intel firması Mandiant 2022’de grubun Tinyshell ve Slapstick Backdoors ile Oracle Solaris merkezli sistemlere odaklandığını buldu. Mantiant ayrıca, grubun UNC1945 olarak izlenen, ilk olarak 2020’de görülen ve Oracle Solaris işletim sistemindeki sıfır gün kırılganlığa saldırılara bağlı bir tehdit faaliyeti kümesi ile önemli bir geçit olduğu görüldü.
Slapstick, en azından 2018’in sonlarından beri UNC1945 tarafından ilk olarak çok sayıda saldırıda kullanılan bir Solaris Takılabilir Kimlik Doğrulama Modülü Backdoor için araştırmacıların kod adıdır. Arka kapı, “saldırganların” bir solaris sunucusunda “bir dayanak oluşturmalarını sağlar” ve “daha fazla organizasyon kolaylaştırmak için bağlantı detayları ve kimlik bilgileri yakalamak” dedi.
Bu yıl Raspberry Pi Bank saldırısında, müfettişler de aynı şeyi yapmayı başarmadan önce grubun çabalarını engellediler. Yine de, saldırganları bankanın ağından çıkarmak hala zor oldu. Raspberry Pi’yi tespit ettikten ve kaldırdıktan sonra bile, saldırganlar, doğrudan İnternet bağlantısı sunan bankanın posta sunucusuna yüklü bir arka kapı aracılığıyla uzaktan erişimi sürdürdü.
Komut ve kontrol sunucusu için dinamik bir DNS etki alanı kullanmak, saldırganlar için şaşkınlığı ve kalıcılığı kolaylaştırdı, çünkü etki alanının çözüldüğü IP adresi ele geçirilirse, saldırganlar hızlı bir şekilde yeni bir IP adresine yapılandırabilir.
Grup -IB, “Fiziksel, ağ ve altyapı kontrolünü birleştiren bu çok pivot erişim yolu, sınırlamayı özellikle zorlayıcı hale getirdi ve UNC2891’in operasyonunun karmaşıklığını vurguluyor.” Dedi.
UNC2891, dinamik DNS kullanan ilk siber suç grubundan uzaktır. Nisan ayında siber telaş istihbarat firması Silent Push, bu yılın başlarında dağınık örümcek olarak izlenen fidye yazılım kullanan kolektifin, bu taktiği, müşterilerin mülkiyeti gizlerken alt alanlar kiralamasına izin veren dinamik DNS sağlayıcıları aracılığıyla kullanmaya başladığını bildirdi.