Olarak bilinen finansal olarak motive olmuş tehdit aktörü UNC2891 Gizli bir saldırının bir parçası olarak 4G donanımlı bir Raspberry Pi kullanılarak otomatik Veze Makinesi (ATM) altyapısını hedefleyen gözlemlenmiştir.
Siber-fiziksel saldırı, Raspberry Pi cihazını kurmak için fiziksel erişimlerinden yararlanmayı ve doğrudan ATM ile aynı ağ anahtarına bağlanmasını ve hedef bankanın ağına etkili bir şekilde yerleştirilmesini içerdiğini söyledi. Şu anda bu erişimin nasıl elde edildiği bilinmemektedir.
Güvenlik Araştırmacısı Nam Le Phuong, Çarşamba raporunda, “Raspberry Pi, mobil veriler üzerinden uzaktan erişime izin veren 4G modem ile donatıldı.” Dedi.
“Tinyshell arka kapısını kullanarak saldırgan, dinamik bir DNS alanı aracılığıyla giden bir komut ve kontrol (C2) kanalı kurdu. Bu kurulum, ATM ağına sürekli harici erişim sağladı ve çevre güvenlik duvarlarını ve geleneksel ağ savunmalarını tamamen atladı.”
UNC2891 ilk olarak Google’a ait maniant tarafından Mart 2022’de belgelendi ve grubu, hileli kartlar kullanarak farklı bankalarda yetkisiz nakit para çekme işlemleri yapmak için ATM anahtarlama ağlarını hedefleyen saldırılara bağladı.
Operasyonun merkezinde, finansal sahtekarlığı etkinleştirmek için ağ bağlantılarını, işlemleri ve dosyaları gizlemek için tasarlanmış bir çekirdek modülü rootkit, ağ bağlantılarını, işlemleri ve dosyaları gizlemek için tasarlanmış bir çekirdek modülü ve donanım güvenliği modüllerinden (HSMS) kesişme ve parodi doğrulama mesajlarını kesti.
Hacking ekibi, daha önce yönetilen hizmet sağlayıcılarını uzlaştıran ve finansal ve profesyonel danışmanlık endüstrileri içindeki çarpıcı hedefleri tanımlayan başka bir tehdit oyuncusu UNC1945 (aka Lightbasin) ile taktik örtüşmeleri paylaşmak için değerlendirildi.
Tehdit oyuncusunu Linux ve Unix tabanlı sistemler hakkında kapsamlı bir bilgiye sahip olarak tanımlayan Group-IB, analizinin kurbanın ağ izleme sunucusunda Raspberry Pi ve dahili posta sunucusuna aktif bağlantılar kurmak için tasarlanmış ağ izleme sunucusunda ortaya çıkardığını söyledi.
Saldırı, Bind Mounts’ın kötüye kullanılması için, arka kapağın varlığını süreç listelerinden gizlemek ve tespitten kaçınmak için önemlidir.
Enfeksiyonun son amacı, geçmişte görüldüğü gibi, Caketap rootkitini ATM anahtarlama sunucusuna dağıtmak ve hileli ATM nakit para çekme işlemlerini kolaylaştırmaktır. Ancak Singapur şirketi, tehdit oyuncusu ciddi hasar vermeden önce kampanyanın bozulduğunu söyledi.
Grup-IB, “Raspberry Pi keşfedildikten ve kaldırıldıktan sonra bile, saldırgan posta sunucusundaki bir arka kapıdan dahili erişimi sürdürdü.” Dedi. “Tehdit oyuncusu komut ve kontrol için dinamik bir DNS alanından yararlandı.”