Експерти з кібербезпеки зафіксували революційний підхід до проведення атак на фінансові установи. Хакерська група UNC2891 (LightBasin) продемонструвала інноваційну методологію, використовуючи мінікомп’ютер Raspberry Pi з 4G-модулем для створення прихованого мостика до банківської інфраструктури. Ця тактика дозволила повністю обійти традиційні системи периметральної безпеки.
Механізм фізичного проникнення та закріплення в мережі
Успішна реалізація атаки стала можливою завдяки отриманню фізичного доступу до банківського відділення. Зловмисники, ймовірно за підтримки інсайдера або шляхом самостійного проникнення, інтегрували Raspberry Pi безпосередньо в мережеву інфраструктуру банку, підключивши пристрій до того ж комутатора, що обслуговує банкомати.
На мінікомп’ютері було розгорнуто спеціалізований бекдор TinyShell, який забезпечував стабільне віддалене керування через мобільну мережу 4G. Такий підхід гарантував постійний доступ до внутрішньої мережі банку, створюючи альтернативний канал зв’язку, невидимий для систем моніторингу периметра.
Передові техніки маскування та протидії розслідуванню
Група LightBasin застосувала складні методи приховування своєї присутності в системі. Використовувані бекдори отримали найменування lightdm, імітуючи легітимний менеджер дисплеїв у Linux-системах, що ускладнювало їх виявлення адміністраторами.
Особливо вражаючою виявилася техніка монтування альтернативних файлових систем tmpfs та ext4 поверх шляхів /proc/[pid] шкідливих процесів. Цей метод ефективно приховав метадані від засобів цифрової криміналістики, створивши серйозні перешкоди для аналізу інциденту та збору доказів.
Еволюція тактик групи LightBasin
Хакерська організація LightBasin активно діє з 2016 року, концентруючись на атаках проти фінансового сектору. У 2022 році дослідники виявили розроблений групою Unix-руткит Caketap, спеціально адаптований для роботи в системах Oracle Solaris банківських установ.
Основне призначення Caketap полягає в перехопленні критично важливих даних банківських карт та PIN-кодів із скомпрометованих серверів банкоматів. Руткит орієнтований на повідомлення для Payment Hardware Security Module (HSM) – захищеного апаратного пристрою, відповідального за генерацію та управління криптографічними ключами.
Стратегія латерального переміщення та розширення присутності
Після успішного закріплення в мережі через Raspberry Pi, атакуючі систематично просувалися по банківській інфраструктурі. Першою проміжною ціллю став сервер мережевого моніторингу, який мав розширені можливості підключення до центрального дата-центру банку.
Наступним етапом стало компрометування поштового сервера з прямим інтернет-з’єднанням, що забезпечило додатковий канал комунікації. Завдяки цьому група зберегла доступ до мережі навіть після виявлення та усунення первинної точки входу.
Цільові завдання та результати втручання
Кінцевою метою кібератаки було розгортання руткита Caketap для підміни авторизації банкоматів та здійснення несанкціонованих операцій з видачі готівкових коштів. Проте плани зловмисників були зірвані завдяки оперативному виявленню підозрілої активності фахівцями з інформаційної безпеки.
Цей інцидент демонструє новий рівень складності кіберзагроз, що поєднують елементи фізичного доступу та віддаленого управління. Використання доступних пристроїв як Raspberry Pi підкреслює необхідність комплексного підходу до захисту банківських систем, який має охоплювати не лише технічні рішення, але й фізичну безпеку приміщень та ретельний контроль доступу персоналу до критично важливої інфраструктури.
