Raspberry Pi s u mreži banke snifa lozinke, obija bankomate
Hakeri su postavili Raspberry Pi opremljen 4G modemom u mrežu neimenovane banke u pokušaju da izvuku novac iz bankomata, što je nova i do sada neviđena taktika, ali i inventivno korištenje Raspberry Pija, rekli bismo
Istraživači iz sigurnosne tvrtke Group-IB otkrili su da je "neviđena taktika omogućila napadačima da u potpunosti zaobiđu perimetarsku obranu". Hakeri su kombinirali fizički upad s zlonamjernim softverom za daljinski pristup koji je koristio još jednu novu tehniku kako bi se sakrio, čak i od sofisticiranih forenzičkih alata. Tehnika, poznata kao Linux bind mount, koristi se u IT administraciji, ali nikada prije nije viđena u upotrebi od strane hakera. Trik je omogućio zlonamjernom softveru da djeluje slično rootkitu kako bi se sakrio od operativnog sustava na kojem radi.
Raspberry Pi bio je spojen na isti mrežni preklopnik koje koriste i bankomati banke što ga je smjestilo unutar interne mreže. Cilj je bio kompromitirati poslužitelj za bankomate i iskoristiti tu kontrolu za manipuliranje hardverskim sigurnosnim modulom banke, fizičkim uređajem otpornim na neovlaštene zahvate koji se koristi za pohranu tajni poput vjerodajnica i digitalnih potpisa te za pokretanje funkcija enkripcije i dekripcije.
Grupa koja stoji iza napada se prati pod imenom UNC2891 i imaju „visoku“ reputaciju zbog svoje vještine u korištenju malwarea u napadima na Linux, Unix i Oracle Solaris.
Grupa provodi godine unutar ciljane mreže, a za to vrijeme upad uglavnom prolazi nezapaženo. CakeTap, prilagođeni rootkit za Solaris manipulira porukama koje prolaze kroz zaraženu mrežu za opsluživanje bankomata, najvjerojatnije za korištenje u neovlaštenim podizanjima gotovine pomoću lažnih bankovnih kartica.
Jedan od najneobičnijih elemenata ovog slučaja bila je upotreba fizičkog pristupa od strane napadača za instaliranje Raspberry Pi uređaja koji je bio spojen izravno na isti mrežni preklopnik kao i bankomat, čime je učinkovito smješten unutar interne mreže banke. Raspberry Pi bio je opremljen 4G modemom, što je omogućilo daljinski pristup.
Kako bi održao postojanost (kao i trovremenski Taft…), UNC2891 je također kompromitirao poslužitelj e-pošte jer je imao stalnu internetsku povezanost. Raspberry Pi i stražnja vrata na poslužitelju e-pošte zatim bi komunicirali koristeći nadzorni poslužitelj banke kao posrednika. Nadzorni poslužitelj odabran je jer je imao pristup gotovo svakom poslužitelju unutar podatkovnog centra.
Dok je Group-IB u početku istraživao mrežu banke, istraživači su primijetili neka neobična ponašanja na nadzornom poslužitelju, uključujući odlazni signal (beaconing) svakih 10 minuta i ponovljene pokušaje povezivanja s nepoznatim uređajem. Istraživači su zatim koristili forenzički alat za analizu komunikacija. Alat je identificirao krajnje točke kao Raspberry Pi i poslužitelj e-pošte, ali nije uspio identificirati nazive procesa odgovornih za signaliziranje.
Napad je otkriven i zaustavljen prije nego što je postigao konačni cilj zaraze mreže za prebacivanje bankomata CakeTap stražnjim vratima. Nije objavljeno o kojoj se banci radi.
