Специалисты компании Group-IB обнаружили уникальную гибридную кибератаку, проведенную известной хакерской группировкой UNC2891 (LightBasin). Злоумышленники использовали одноплатный компьютер Raspberry Pi с 4G-модулем для создания скрытого канала доступа во внутреннюю сеть банковского учреждения, обойдя при этом все защитные системы периметра.
Механизм проведения атаки через Raspberry Pi
Атакующие получили физический доступ к банковскому отделению, предположительно самостоятельно или при содействии инсайдера из числа сотрудников организации. Raspberry Pi с поддержкой 4G был подключен к тому же сетевому коммутатору, что и банкомат, что позволило создать постоянный канал связи с внутренней инфраструктурой банка в обход брандмауэров.
На одноплатном компьютере был развернут бэкдор TinyShell, обеспечивающий удаленное управление через мобильную сеть. Такой подход позволил злоумышленникам поддерживать постоянное присутствие в сети и осуществлять боковое перемещение между различными системами банка.
Тактики скрытности и антифорензика
Группировка LightBasin продемонстрировала высокий уровень технической подготовки, применив несколько продвинутых методов сокрытия своей активности. Используемые бэкдоры получили название lightdm для имитации легитимного менеджера LightDM в Linux-системах.
Особое внимание заслуживает применение техники монтирования альтернативных файловых систем (tmpfs и ext4) поверх путей /proc/[pid] вредоносных процессов. Данный метод позволил эффективно скрыть метаданные от инструментов цифровой криминалистики, существенно затруднив обнаружение и анализ вредоносной активности.
История группировки LightBasin и предыдущие атаки
Хакерская группировка LightBasin ведет активную деятельность с 2016 года, специализируясь на атаках против финансового сектора. В 2022 году исследователи компании Mandiant обнаружили созданный группировкой Unix-руткит Caketap, предназначенный для работы на системах Oracle Solaris в банковской сфере.
Основная функция Caketap заключается в перехвате критически важных данных банковских карт и PIN-кодов с компрометированных серверов банкоматов. Руткит нацелен на сообщения, предназначенные для Payment Hardware Security Module (HSM) — защищенного аппаратного устройства, отвечающего за создание и управление криптографическими ключами.
Развитие атаки и боковое перемещение
После закрепления в сети через Raspberry Pi, злоумышленники последовательно перемещались по инфраструктуре банка. Первой промежуточной целью стал сервер мониторинга сети, обладающий расширенными возможностями подключения к банковскому дата-центру.
Затем атакующие получили доступ к почтовому серверу с прямым подключением к интернету, что обеспечило им альтернативный канал связи. Благодаря этому группировка сохранила присутствие в сети даже после обнаружения и удаления первоначальной точки входа — Raspberry Pi.
Цели атаки и результаты расследования
Конечной целью кибератаки было развертывание руткита Caketap для спуфинга авторизации банкоматов и выполнения несанкционированных операций по снятию наличных средств. Однако планы злоумышленников были сорваны благодаря своевременному обнаружению подозрительной активности специалистами по информационной безопасности.
Данный инцидент представляет собой редкий пример продвинутой гибридной атаки, сочетающей элементы физического проникновения и удаленного доступа. Использование Raspberry Pi демонстрирует растущую изобретательность киберпреступников и необходимость комплексного подхода к защите банковской инфраструктуры, включающего как технические, так и физические меры безопасности.
