Yakın zamanda ortaya çıkarılan bir banka soygunu girişimi, finans kurumlarını hedef alan siber suç operasyonlarının giderek daha karmaşık ve cüretkar hale geldiğini gösteriyor. Olayda, hedef alınan bankanın ağından ATM'lerden hileli para çekme işlemlerine olanak tanıyan fiziksel saldırı, gelişmiş kötü amaçlı yazılımlar ve adli bilişim karşıtı önlemler bir arada kullanıldı.
Fiziksel saldırı, ağ manipülasyonu ve teknik hilelerin birleşiminin bankalar ve diğer kritik altyapı sağlayıcıları için tehdit ortamını nasıl yeniden şekillendirdiğine dair çarpıcı bir örnek. Bu olay , hem dijital hem de fiziksel saldırı vektörlerini ele alan kapsamlı güvenlik protokollerinin önemini de vurguluyor.
Soruşturma, Group-IB'nin bir bankanın dahili izleme sunucusunda olağandışı bir etkinlik gözlemlemesiyle başladı. Daha detaylı analizler, bankanın ATM ağ anahtarına fiziksel olarak bağlı bir Raspberry Pi'nin keşfedilmesiyle sonuçlandı.
4G hücresel modemle donatılmış bu cihaz, bankanın dahili sistemleri ile harici saldırganlar arasında bir köprü oluşturarak, geleneksel ağ çevre savunmalarını aşıyordu. Bu kurulum, bankanın güvenlik duvarları aktif ve sıkı bir şekilde yapılandırılmış olsa bile, mobil veriler üzerinden sürekli uzaktan erişim sağlıyordu.
UNC2891 olarak tanımlanan ve LightBasin olarak da bilinen saldırganlar, başlangıçta bankaya fiziksel erişim sağladılar (muhtemelen kendi imkanlarıyla veya içeriden birinin yardımıyla), Raspberry Pi'yi ATM altyapısına gizlice yerleştirdiler. Yerleştirildikten sonra cihaz, dahili izleme sunucusunun her on dakikada bir yerel ağ üzerinden Raspberry Pi'ye veri aktarımını tekrar tekrar denemesiyle bir kanal görevi gördü. Araştırmacılar tarafından kullanılan adli araçlar, sonunda bu iletişimlerin izini doğrudan sahte cihaza kadar sürdü.
Saldırganlar, sürekli internete bağlı olan bir posta sunucusu gibi diğer önemli sistemlere girerek yatay hareket edebildiler. İzleme sunucusu üzerinden iletişim kuran Raspberry Pi ve posta sunucusu, saldırganların tutunma ve dayanıklılıklarını artırarak, banka saldırıya yanıt verirken bile ağ genelinde eylemleri koordine etmelerine olanak tanıdı.
Saldırının ayırt edici bir özelliği, meşru bir Linux ekran yöneticisi işleminden ödünç alınan "lightdm" adı altında gizlenmiş özel arka kapılar kullanılmasıydı. Bu kötü amaçlı ikili dosyalar, tespit edilmekten kaçınmak için kasıtlı olarak alışılmadık dizinlere yerleştirildi ve görünüşte gerçek komut satırı parametreleriyle çalıştırıldı. Bu adli bilişim karşıtı teknik, sistem meta verilerini kontrol etmeye dayanan izlemeyi baltaladı.
Operasyonun nihai amacı, ATM yetkilendirmelerini manipüle etmek ve sahte nakit çekimleri gerçekleştirmekti. Grup, bunun için UNC2891'i araştıran tehdit araştırmacıları tarafından daha önce analiz edilen bir kötü amaçlı yazılım bileşeni olan CAKETAP adlı özel bir kök araç seti yüklemeye çalıştı.
CAKETAP, Oracle Solaris sistemleri için tasarlanmıştır ve Ödeme Donanımı Güvenlik Modülü yanıtlarını manipüle etmek üzere tasarlanmıştır. Özellikle, PIN doğrulama isteklerini engeller ve yasadışı işlemlerde meşru kimlik doğrulama verilerini değiştirerek, güvenlik kontrollerini atlatmak ve sahte ATM çekimlerini onaylamak için etkili bir şekilde bir tekrar saldırısı gerçekleştirir.
Ne kadar ustaca bir plan olsa da, soygun en büyük hasara yol açacak aşama tamamlanmadan engellendi. Grup-IB ve iş birliği yapan araştırmacılar, saldırıyı etkisiz hale getirmeyi ve CAKETAP kök setinin önemli mali kayıplar yaşanmadan önce konuşlandırılmasını engellemeyi başardılar.
Benzer saldırılardan kaçınmak için, Grup-IB bankalara sistem çağrılarını bağlama ve kaldırma işlemlerini yakından izlemelerini, /proc/[pid] dizininin tmpfs veya harici dosya sistemlerine bağlanması durumunda uyarı vermelerini ve /tmp veya /snapd gibi geçici dizinlerden başlatılan yürütülebilir dosyaları engellemelerini veya işaretlemelerini tavsiye ediyor. Ayrıca, ağ anahtar bağlantı noktalarının ve ATM'ye bağlı ekipmanların fiziksel olarak güvenliğini sağlamanın önemini vurguluyor ve olay müdahale ekiplerine, karmaşık saldırılara karşı tespit ve müdahaleyi iyileştirmek için disk verilerinin yanı sıra bellek görüntülerini de toplamaları çağrısında bulunuyorlar.
Kaynak :
https://www.techspot.com/news/108893-ha ... ttack.html
