- Хакеры установили 4G Raspberry Pi в банкомат в банке, чтобы получить доступ к сети
- Устройство было покрыто и передавалось каждые 600 секунд, что позволяет избежать типичных систем обнаружения
- Вредопроводник использовал фальшивые имена Linux и темные каталоги для смешивания в законных действиях системы
Преступная группа недавно попробовала необычное и сложное проникновение в инфраструктуру банкомата банка, используя Raspberry Pi с способностью к 4G.
Отчет по Группа IB Устройство было рассмотрено в сетевом переключателе, используемом системой банкоматов, и помещало его во внутреннюю банковскую среду.
Группа, стоящая за компанией, UNC2891, воспользовалась этим физическим доступом, чтобы полностью избежать защиты цифрового периметра и проиллюстрировать, как физические компромиссы могут превышать защиту на основе программного обеспечения.
Использование физического доступа к обходной цифровой защите
Raspberry Pi служил скрытой точкой входа с функциями удаленного подключения через свой модем 4G, что позволило продолжить командный и контрольный доступ из -за пределов сети учреждения без типичного запуска Предупреждения о защите брандмауэра или конечной точки.
«Одним из самых необычных элементов этого случая было использование физического доступа злоумышленника для установки устройства Raspberry Pi», — написала группа цифровой криминалистики и специалиста по цифровой криминалистике и инъекции Nam Le Phuong.
«Это устройство было напрямую подключено к тому же сетевому переключателю, что и банкомат, чтобы эффективно поместить его во внутреннюю сеть банка».
С мобильными данными, злоумышленники имели низкое присутствие, в то время как они инициировали пользовательские вредоносные программы и более поздние движения в инфраструктуре банка.
Определенный инструмент, называемый TinyShell, использовался для управления сетевой связи, который позволяет невидимым управлять данными через несколько внутренних систем.
Позже кривина показала, что UNC2891 использовал многоуровневый подход к завесе.
Процессы вредоносных программ назывались «LightDM», что имитирует законные системы Linux.
Эти задние двери вышли из нетипичных каталогов, таких как /TMP, что означает, что они вставляют в доброкачественные системы.
Кроме того, группа использовала методику, известную как сборка Linux, чтобы скрыть метаданные процесса от судебных инструментов, метод, который до сих пор не был замечен в активных атаках.
С тех пор эта методика была каталогизирована в рамке Merifungsatt & CK, поскольку соответствует обычному обнаружению.
Следователи обнаружили, что сервер наблюдения банка спокойно общался с Raspberry Pi каждые 600 секунд, что было тонким и, следовательно, не сразу выделялось как злокачественное.
Тем не менее, более глубокий анализ памяти показал вводящий в заблуждение характер процессов и что эти сообщения были распространены на внутренний почтовый сервер с постоянным доступом в Интернет.
Даже после того, как физический имплантат был устранен, злоумышленники сохранили доступ через этот вторичный вектор и продемонстрировали рассчитанную стратегию для обеспечения непрерывности.
В конечном счете, цель состояла в том, чтобы ухудшить сервер, навязывающий банкомат, и предоставить пользовательскому определенному rootkit -caketap, с которым аппаратные модули безопасности могут манипулировать для утвержденных незаконных транзакций.
Такая тактика позволит мошенническому снятию денежных средств и в то же время казаться законной для банковских систем.
К счастью, проникновение было остановлено до того, как этот этап мог быть выполнен.
Этот инцидент показывает риски, связанные с растущей сходимостью тактики физического доступа и передовыми антиотрадными методами.
Это также показывает, что удаленный взлом, инсайдерские угрозы или физические манипуляции могут облегчить кражу личных данных и мошенничество с финансами.
Вы также могли бы понравиться
