Ako hackeri použili Raspberry Pi na útok na bankomaty?
Nedávno odhalený pokus o bankovú lúpež ukazuje rastúcu sofistikovanosť a drzosť kyberzločineckých operácií zameraných na finančné inštitúcie. Incident, ktorý sa podarilo zastaviť skôr, ako páchatelia stihli spôsobiť významné škody, kombinoval fyzický prienik, pokročilý malvér a anti-forenzné techniky s cieľom umožniť podvodné výbery z bankomatov.
Tento prípad je ukážkou toho, ako kombinácia fyzického kompromitovania, sieťovej manipulácie a technických úskokov mení prostredie hrozieb pre banky a poskytovateľov kritickej infraštruktúry. Zdôrazňuje tiež dôležitosť komplexných bezpečnostných protokolov, ktoré riešia digitálne aj fyzické vektory útokov. Vyšetrovanie sa začalo, keď spoločnosť Group-IB zaznamenala neobvyklú aktivitu na internom monitorovacom serveri banky.
Ďalšia analýza viedla k objaveniu minipočítača Raspberry Pi, ktorý bol fyzicky pripojený k sieťovému prepínaču bankomatovej siete. Toto zariadenie, vybavené 4G mobilným modemom, poskytovalo útočníkom most medzi internými systémami banky a vonkajším svetom, čím obišlo konvenčnú ochranu sieťového perimetra. Takéto nastavenie umožnilo útočníkom trvalý vzdialený prístup cez mobilné dáta, a to aj napriek aktívnym a striktne nakonfigurovaným firewallom banky.
Útočníci, identifikovaní ako skupina UNC2891 (známa aj ako LightBasin), najprv získali fyzický prístup do banky – buď vlastnými prostriedkami, alebo s pomocou insidera – aby mohli nenápadne nainštalovať Raspberry Pi do infraštruktúry bankomatov. Po nainštalovaní slúžilo zariadenie ako spojovací kanál, pričom interný monitorovací server sa každých desať minút opakovane pokúšal o prenos dát na tento minipočítač.
Forenzné nástroje nakoniec vystopovali túto komunikáciu priamo k nelegálnemu zariadeniu. Skupina bola schopná pohybovať sa po sieti a preniknúť aj do ďalších dôležitých systémov, ako napríklad do mailového servera, ktorý bol neustále pripojený na internet. Vzájomná komunikácia medzi Raspberry Pi a mailovým serverom rozšírila a posilnila pozíciu útočníkov, čo im umožnilo koordinovať akcie naprieč sieťou, aj keď už banka na útok reagovala.
Charakteristickým znakom útoku bolo použitie vlastných zadných vrátok (backdoors) maskovaných pod názvom „lightdm“ – menom prevzatým z legitímneho procesu v systéme Linux. Tieto škodlivé súbory boli úmyselne umiestnené v neobvyklých adresároch a spúšťané s zdanlivo autentickými parametrami, aby sa vyhli detekcii. Táto anti-forenzná technika podkopala monitorovacie systémy, ktoré sa spoliehali na kontrolu systémových metadát.
Konečným cieľom operácie bolo zmanipulovať autorizáciu bankomatov a uskutočniť podvodné výbery hotovosti. Na tento účel sa skupina pokúsila nainštalovať vlastný rootkit známy ako CAKETAP – malvérový komponent, ktorý už v minulosti analyzovali výskumníci vyšetrujúci aktivity skupiny UNC2891. CAKETAP je navrhnutý pre systémy Oracle Solaris a jeho úlohou je manipulovať s odpoveďami platobného hardvérového bezpečnostného modulu (HSM).
Konkrétne zachytáva požiadavky na overenie PIN kódu a pri nelegálnych transakciách nahrádza legitímne autentifikačné dáta, čím v podstate vykonáva „replay attack“ na obídenie bezpečnostných kontrol a schválenie podvodných výberov. Napriek vynaliezavosti bol celý pokus o lúpež zmarený skôr, ako mohla byť dokončená najškodlivejšia fáza.
Spoločnosti Group-IB a spolupracujúcim vyšetrovateľom sa podarilo neutralizovať prienik a zabrániť nasadeniu rootkitu CAKETAP skôr, ako došlo k významným finančným stratám. Na zamedzenie podobných útokov odporúča Group-IB bankám dôsledne monitorovať systémové volania, blokovať spustiteľné súbory z dočasných adresárov a klásť dôraz na fyzické zabezpečenie sieťových zariadení pripojených k bankomatom.
