В современную эпоху цифровых технологий все более актуальными становятся вопросы кибербезопасности, особенно в финансовом секторе, где ставки чрезвычайно высоки. Недавно стало известно о необычной и продвинутой методике кибератаки на одного из участников банковской сферы: хакеры внедрили небольшое одноплатное устройство Raspberry Pi с поддержкой 4G в сеть банка, создавая тем самым опасный канал для несанкционированного доступа. Этот случай показывает, как современные злоумышленники используют гибридные методы, соединяющие физический и сетевой взлом, чтобы обойти традиционные системы защиты и реализовывать киберпреступные операции. В данной статье представляем детальный анализ и разъяснение механики данной атаки, а также рекомендации по усилению защиты банковских учреждений. Группа, стоящая за этим инцидентом, известна в сообществе кибербезопасности как UNC2891, или LightBasin.
Она действует с 2016 года, и за это время группа уже совершала многочисленные атаки на финансовые организации по всему миру. Особенность их подхода в том, что они комбинируют различные техники – от физического проникновения до сложных методов обхода обнаружения. В данном случае был использован Raspberry Pi, что мало кто ожидал увидеть среди инструментов киберпреступников. Raspberry Pi – это компактное и недорогое устройство, популярное среди энтузиастов и инженеров из-за своей универсальности. Однако, помимо легальных применений, такие одноплатники могут стать отличным средством скрытного внедрения в защищённые сети.
Подключив Raspberry Pi напрямую к сети банка через один из коммутаторов, который также обслуживал банкомат, злоумышленники получили возможность обойти основной межсетевой экран и получить удаленный доступ к внутренним ресурсам. Важно отметить, что подключение Raspberry Pi не было случайным: либо хакеры самостоятельно получили физический доступ в отделение банка, либо они подкупили сотрудников для организации подобной операции. Такой подход значительно расширяет возможности атакующих, поскольку доступ к физической инфраструктуре позволяет обходить цифровые барьеры, которые традиционно защищают банковские системы. На одноплатном устройстве был установлен бэкдор TinyShell – скрытая программа, которая обеспечивает удалённое управление через мобильную сеть 4G. Это обеспечивает непрерывную связь с командным сервером атакующих, даже если банк пытается отслеживать или блокировать подозрительную активность внутри сетевого периметра.
Далее, используя эту продвинутую точку входа, злоумышленники перемещались внутри локальной сети, получая доступ к критически важным системам, включая сервер мониторинга сети. Сервер мониторинга играет ключевую роль в банковской инфраструктуре, отслеживая состояние всех сетевых устройств и систем безопасности. Получив контроль над этим сервером, хакеры получили широкие возможности для дальнейшего разведывательного анализа и скрытного продвижения вглубь ИТ-инфраструктуры банка. Следующий этап внедрения был направлен на взлом почтового сервера банка, который имел прямой выход в интернет. Таким образом, злоумышленники надеялись сохранить доступ к сети организации даже после обнаружения и извлечения физического устройства Raspberry Pi.
Для маскировки своей деятельности в сети злоумышленники использовали нестандартные для киберпреступников методы. Среди них – бэкдор с названием LightDM, который под маской легитимного менеджера окон в Linux-системах затруднял обнаружение вредоносного ПО системными администраторами. Кроме того, злоумышленники монтировали альтернативные файловые системы tmpfs и ext4 поверх системных каталогов, таких как /proc/[pid], что затрудняло работу forensic-инструментов и скрывало следы вредоносных процессов. Инцидент стал редким примером успешного сочетания физического проникновения и удалённого кибервзлома. Обычно хакеры ограничиваются только удалённым доступом, но в случае LightBasin физическая часть игры дала дополнительное преимущество, позволив обойти многие программные барьеры.
В планах злоумышленников на финальном этапе стояло развертывание руткита Caketap, который был разработан для систем Oracle Solaris и мог перехватывать данные банковских карт и PIN-кодов, обеспечивая возможность несанкционированных транзакций. Однако атака была вовремя обнаружена исследователями из Group-IB, что позволило предотвратить масштабные потери. Это подчеркивает важность не только технических мер, но и проактивного мониторинга и аналитики при обеспечении безопасности банковских систем. Детальный анализ зафиксированных следов и примененных техник позволил экспертам понять специфику действий LightBasin и своевременно усилить защиту. Стоит обратить внимание на тот факт, что современные киберпреступники все чаще прибегают к смешанным методам, сочетая физический доступ с цифровыми атаками.
Это требует от организаций пересмотра стратегии безопасности, включая усиление контроля физического доступа в офисы и филиалы, тщательную проверку сотрудников и использование современных средств обнаружения аномалий как внутри сети, так и на уровне инфраструктурных устройств. Технология Raspberry Pi, которая изначально создавалась для образовательных целей и творчества, становится неожиданным инструментом киберпреступников благодаря своей компактности, низкой стоимости и высокому уровню адаптивности. Поэтому защиты от угроз такого рода должны учитывать не только традиционные средства, но и учитывать возможность внедрения «малых устройств» с мобильной связью в критические точки инфраструктуры. Кроме технических аспектов, важно развивать культуру кибергигиены среди сотрудников финансовых организаций. Подкуп или невнимательность работников нередко становится слабым звеном в системе безопасности.
Обучение, регулярные проверки и внедрение многоуровневых систем аутентификации служат дополнительными барьерами для злоумышленников. В заключение, ситуация с внедрением Raspberry Pi в банковскую сеть является тревожным сигналом и примером для всех финансовых учреждений. Она демонстрирует, что киберзащита требует комплексного подхода, включающего физическую безопасность, профессиональный мониторинг и использование современных технологий для выявления и предотвращения угроз. Хакеры продолжают совершенствовать свои методы, и только технологическая грамотность, осведомленность и своевременные меры способны остановить новые волны кибератак в критических секторах экономики. В эпоху цифровых инноваций банки обязаны быть на шаг впереди преступников, адаптируя свои стратегии безопасности и уделяя должное внимание каждой детали инфраструктуры.
Только так можно обеспечить надежную защиту данных и финансов клиентов в условиях постоянно эволюционирующего киберугрозного ландшафта.
