ATM-ek hibrid támadása
Group‑IB elemzése az UNC2891 (LightBasin) által végrehajtott kísérleti banki incidensről, amely fizikai és távoli hozzáférést ötvöző, különösen rejtett támadásként írható le. A támadók egy 4G-képes Raspberry Pi eszközt helyeztek el a bank ATM-hálózati kapcsolójához kötve, így a bank biztonsági rendszerein kívülről képesek voltak távvezérelten is bejutni.
Az eszközre a TinyShell HTTP/HTTPS alapú backdoor került telepítésre, amely folyamatosan kapcsolatot tartott a C2 infrastruktúrával mobil adatkapcsolaton keresztül – ily módon kerülve meg a perimeter tűzfalakat. A bank belső hálózatában a támadók laterális mozgással átjutottak a hálózati monitoring szerverhez, majd onnan a levelezőszerverre is, amely internetkapcsolattal bír, és tartós hozzáférést biztosított még akkor is, ha a Raspberry Pi-t eltávolították.
Az incidens célja az ATM-transzakciók manipulálása volt – a visszaélésekhez a csoport a korábbi Caketap rootkit technológiájára épített, amely képes hamis jóváhagyásokat generálni a biztonsági modullal történő manipuláció révén. Bár ez a terv ezúttal nem valósult meg teljesen, a terv megvalósíthatósága nagy aggodalomra ad okot.
A támadás során több azonosítás és vizsgálat elkerülő technika is alkalmazásra került, így a rosszindulatú folyamatokra a /proc/[pid] fájlrendszeren belül tmpfs és ext4 virtuális fájlrendszerek ágyazása történt, ezzel elrejtve a folyamatok és metaadatok nyomait a vizsgálatok elől. Emellett az egyik backdoor fájl nevét lightdm-nek nevezték el, hogy ártalmatlan rendszerkomponensként tűnjön fel a Linux környezetben. A C2-to-Raspberry Pi jelzések percenként (600 s) port 929-en történtek, ami a pivot szerver szerepét erősítette.
