В современном мире информационных технологий безопасность банковских систем выходит на передний план. Киберпреступники постоянно совершенствуют свои инструменты и способы проникновения в финансовую инфраструктуру, что заставляет организации пересматривать свои подходы к защите данных. Одним из самых ярких и тревожных примеров последнего времени стала атака на банковскую сеть в Индонезии, когда злоумышленники с помощью миниатюрного микрокомпьютера Raspberry Pi получили доступ к внутренним системам и смогли удалённо похитить деньги из банкоматов. Этот инцидент ознаменовал собой новый уровень киберпреступности и поставил под угрозу финансовую безопасность многих учреждений по всему миру. Атака произошла в первом квартале 2024 года и была детально изучена исследовательской командой Group-IB, которая впервые ознакомила общественность с деталями хакерских действий.
Кибергруппа, известная как UNC2891, организовала сложную операцию, в которой задействовала не только цифровые инструменты, но и физическое проникновение в инфраструктуру банка. "Раннеры" — люди, нанятые организаторами преступления, физически подключили устройство Raspberry Pi к сетевому коммутатору банка, который был напрямую связан с атакуемым банкоматом. Микрокомпьютер был оснащён 4G модемом, что позволило злоумышленникам обеспечивать постоянный удалённый доступ к банковской сети через мобильную связь. Использование Raspberry Pi в атаках является значимым трендом, ведь это компактное, дешёвое и в то же время мощное устройство, способное выполнять сложнейшие вычислительные задачи и быть незаметным для сотрудников безопасности. В данном случае оно послужило «входной дверью» для установки скрытого бекдора, получившего название Tinyshell.
Эта вредоносная программа обеспечивала устойчивое присутствие участников атаки в системе через командно-контрольный канал и динамический DNS-домен. Такая архитектура помогала обходить традиционные средства защиты, включая брандмауэры и системы мониторинга, оставаясь незамеченной в течение длительного времени. Интересно, что Tinyshell не только работала с самим микрокомпьютером, но и взаимодействовала с почтовым сервером банка, который имел прямой выход в Интернет. Это означало, что даже при отключении Raspberry Pi киберпреступники сохраняли контроль над сетью, используя для коммуникации альтернативные каналы. Такое сочетание физических и сетевых инструментов демонстрирует высокий уровень подготовки и мастерство группы, которые не стесняются использовать самые современные методы взлома и маскировки.
Разоблачение атаки заняло значительное время, так как злоумышленники использовали передовые техники сокрытия. Например, бекдор был замаскирован под стандартный дисплейный менеджер LightDM, присутствующий в Linux-системах, а вредоносные процессы прятались с применением Linux bind mounts — методики, которая ранее не была описана в публичных отчётах и только недавно получила признание в MITRE ATT&CK framework. Подобные методы делают расследование чрезвычайно сложным, так как даже опытные форензики могут не сразу распознать угрозу среди множества легитимных процессов. Успех атаки повысил осознание того, насколько традиционные методики реагирования на инциденты могут быть недостаточными при столкновении с опытными кибергруппами. UNC2891, связанная с другими известными хакерскими объединениями, такими как MustangPanda и RedDelta, демонстрирует, что одних базовых знаний в области сетевой безопасности и базового аудита систем уже недостаточно для защиты сложных корпоративных инфраструктур.
Необходимы дополнительные анализ памяти, глубокий сетевой форензик и обновлённые тактики обнаружения угроз. Антропологический аспект атаки также вызывает интерес: нападение было организовано группой, не базирующейся в Индонезии, а «наземная» часть операции осуществлялась через местных агентов, что усложняет пресечение подобных преступлений со стороны правоохранительных органов. Это подчёркивает глобальный характер угроз, заставляя страны и компании объединять усилия для борьбы с киберпреступностью через международное сотрудничество и обмен информацией. Несмотря на то, что преступники успели получить некоторую сумму скомпрометированного банкомата, оперативные службы смогли вовремя обнаружить и нейтрализовать угрозу, предотвратив расширение ущерба. Примечательно, что их план по развертыванию руткита Caketap, который позволил бы подделывать сообщения об авторизации и предоставил бы возможность для массовых и более масштабных краж, так и не осуществился благодаря грамотным действиям защитников.
Если рассматривать этот случай шире, он становится наглядным примером, почему банкам и финансовым учреждениям необходимо постоянно обновлять свои политики безопасности и инвестировать в современные технологии защиты. Необходима комплексная система мониторинга, которая учитывает сочетание физических устройств и цифровых следов. В том числе следует внедрять системы обнаружения аномалий, основанные на анализе поведения сетевых устройств и приложений, а также повышение осведомленности и подготовку сотрудников, чтобы минимизировать риски физического проникновения. Атака с применением малогабаритных устройств вроде Raspberry Pi показывает, что даже относительно недорогие и простые гаджеты могут стать серьёзным оружием в руках киберпреступников. Владельцам банковских инфраструктур и поставщикам решений безопасности следует учитывать это и развивать защиту на уровне сетевого оборудования, своевременно проводить аудит доступов к критической инфраструктуре и применять сегментацию сети, чтобы минимизировать возможные последствия физических атак.
В целом, произошедшее демонстрирует новый этап развития киберугроз, где периметральная безопасность уже не может гарантировать полную защиту, а информационные системы становятся мишенью сложных, мультидисциплинарных атак. Объединение усилий исследователей, технологических компаний и правоохранительных структур необходимо для противодействия подобным угрозам и обеспечения надёжности финансовой индустрии в эпоху цифровизации. Только так можно сохранить доверие клиентов и обеспечить безопасность средств в непрерывно меняющемся ландшафте киберугроз.
