Престъпниците използвали недокументирани техники и добре поставени вътрешни лица, за да изтеглят пари дистанционно.
Група киберпрестъпници успяла физически да инсталира Raspberry Pi в мрежата на банка, за да открадне пари от индонезийски банкомат.
Group-IB съобщи за находките за първи път тази седмица, казвайки на The Register, че атаката е извършена през първото тримесечие на 2024 г. и е включвала престъпниците да плащат на „бегачи“, за да инсталират физически устройствата на банкоматите.
Атаката е приписана на това, което специалистите по киберсигурност наричат „клас на заплахи“, проследяван като UNC2891, който е забелязан за първи път през 2017 г.
Съобщава се, че участниците в дейностите на UNC2891 не са местни и не се намират в Индонезия, а Mandiant преди това ги свърза с UNC1945/LightBasin, който от своя страна е свързан с MustangPanda и RedDelta.
Group-IB заяви, че екипът успешно е изтеглил пари от компрометиран банкомат, а атаката е била ограничена няколко дни след първото изтегляне. Изследователите не разкриха колко пари е успял да източи UNC2891.
Престъпниците, или хората, на които платили за извършване на физическата атака, свързали Raspberry Pi с комутатор на банковата мрежа, същия, който е свързан с банкомата, който впоследствие е бил обран.
Този Raspberry Pi е бил оборудван с 4G модем, предоставяйки на нападателите дистанционен достъп до вътрешната мрежа на банката.
UNC2891 след това е внедрил задна врата, известна като Tinyshell, за да установи постоянен достъп чрез канал за командване и контрол и динамичен DNS домейн. Методът позволил на престъпниците да заобиколят традиционните мрежови защити, като периметрални защитни стени, заяви Group-IB.
След като престъпниците изтеглили парите, екипът по съдебна експертиза, привлечен да се справи със ситуацията, имал трудности да локализира проблема благодарение на техниките за замъгляване на UNC2891.
Например, задната врата изглеждала като дисплейния мениджър LightDM, често използван от Linux системи, демонстрирайки уменията на групата, които, според изследователите, обхващали Linux, Unix и Oracle Solaris среди.
UNC2891 също използвал Linux bind mounts, за да скрие своите процеси за задна врата, които по това време не били документирани в публични доклади за заплахи, заяви Group-IB.
Техниката сега е призната от ATT&CK рамката на MITRE като T1564.013.
Защитниците успяли да спрат UNC2891 от постигане на крайната си цел, която те вярват, че е била да внедрят rootkit „Caketap“, за да фалшифицират съобщения за авторизация, които могат да се използват за допълнителни тегления на пари.
Изследователите отбелязаха, че атаката служи като напомняне, че лошите актьори, използващи най-новите инструменти и хитри техники, могат да победят традиционните планове за реагиране при инциденти и че са необходими съдебна експертиза на паметта и мрежата, за да се допълнят обичайните инструменти за триаж.
Read More: Как да изберете силна парола – Защитете личните си данни в дигиталния свят
