تتزايد عمليات السطو المصرفي المعقدة، مما يتطلب فهمًا أعمق لأساليب المهاجمين وكيفية حماية المؤسسات المالية.
ما الذي حدث للتو؟
توضح محاولة السطو المصرفي التي تم اكتشافها مؤخرًا مدى تعقيد وجرأة العمليات الإجرامية الإلكترونية التي تستهدف المؤسسات المالية. تضمنت الحادثة مزيجًا من الاقتحام الجسدي، والبرمجيات الخبيثة المتقدمة، وتدابير مضادة للتجسس، مما سمح بسحب أموال غير قانونية من شبكة بنك مستهدف.
تفاصيل الحادثة
بدأ التحقيق عندما لاحظت مجموعة Group-IB نشاطًا غير عادي على خادم المراقبة الداخلية لأحد البنوك. أدى التحليل الإضافي إلى اكتشاف جهاز Raspberry Pi متصل فعليًا بمحول شبكة أجهزة الصراف الآلي للبنك.
مزودًا بمودم خلوي 4G، قدم هذا الجهاز جسرًا بين أنظمة البنك الداخلية والمهاجمين الخارجيين، متجاوزًا الدفاعات التقليدية للشبكة. قدم هذا الإعداد وصولاً مستمرًا عن بُعد عبر البيانات المحمولة، حتى مع وجود جدران نارية للبنك نشطة ومهيكلة بشكل صارم.
الاقتحام الجسدي
تم تحديد المهاجمين على أنهم UNC2891، المعروف أيضًا باسم LightBasin، الذين حصلوا في البداية على وصول فعلي إلى البنك – ربما من خلال وسائلهم الخاصة أو بمساعدة من أحد المطلعين – لتثبيت جهاز Raspberry Pi بشكل سري داخل بنية أجهزة الصراف الآلي. بمجرد وضعه، عمل الجهاز كقناة، حيث كانت خادم المراقبة الداخلية يحاول إرسال البيانات إلى Raspberry Pi عبر الشبكة المحلية كل عشر دقائق. تمكنت أدوات الطب الشرعي التي نشرها المحققون في النهاية من تتبع هذه الاتصالات مباشرة إلى الجهاز المارق.
التقدم في الهجوم
تمكن المهاجمون من التحرك بشكل جانبي من خلال اختراق أنظمة أساسية أخرى، مثل خادم البريد الإلكتروني المتصل دائمًا بالإنترنت. وسعت Raspberry Pi وخادم البريد الإلكتروني، اللذان يتواصلان عبر خادم المراقبة، من موطئ قدم المهاجمين ومرونتهم، مما سمح لهم بتنسيق الإجراءات عبر الشبكة حتى مع استجابة البنك للهجوم.
الأساليب المستخدمة
كانت إحدى الميزات المميزة للهجوم هي استخدام أبواب خلفية مخصصة تتنكر في شكل “lightdm” – وهو اسم مأخوذ من عملية إدارة العرض في نظام Linux الشرعي. تم وضع هذه الملفات الخبيثة عمدًا في أدلة غير عادية وتشغيلها بمعلمات سطر أوامر تبدو حقيقية لتفادي الكشف. لقد أضعفت هذه التقنية المضادة للتجسس المراقبة التي اعتمدت على فحص بيانات التعريف للنظام.
الهدف النهائي
كان الهدف النهائي للعملية هو التلاعب بتفويض أجهزة الصراف الآلي وتنفيذ سحوبات نقدية غير قانونية. لهذا، حاولت المجموعة تثبيت rootkit مخصص يعرف باسم CAKETAP – وهو مكون من البرمجيات الخبيثة تم تحليله سابقًا من قبل باحثي التهديدات الذين يحققون في UNC2891.
كيفية عمل CAKETAP
تم تصميم CAKETAP لأنظمة Oracle Solaris، ويهدف إلى التلاعب باستجابات وحدة أمان الأجهزة الخاصة بالدفع. بشكل محدد، يقوم باعتراض طلبات التحقق من الرقم السري، وللصفقات غير القانونية، يستبدل بيانات المصادقة الشرعية، مما يؤدي فعليًا إلى تنفيذ هجوم إعادة التشغيل لتجاوز فحوصات الأمان والموافقة على سحوبات أجهزة الصراف الآلي غير القانونية.
النتيجة
على الرغم من ذكاء الهجوم، تم إحباط السطو قبل أن يتم إكمال المرحلة الأكثر ضررًا. تمكنت مجموعة Group-IB والمحققون المتعاونون من تحييد الاقتحام ومنع نشر rootkit CAKETAP قبل حدوث خسائر مالية كبيرة.
التوصيات الأمنية
لتجنب هجمات مماثلة، توصي مجموعة Group-IB البنوك بمراقبة عمليات استدعاء النظام عن كثب، مع تنبيه عند أي تركيب لـ /proc/[pid] إلى tmpfs أو أنظمة الملفات الخارجية، وحظر أو وضع علامات على الملفات التنفيذية التي تم إطلاقها من أدلة مؤقتة مثل /tmp أو /snapd. كما يؤكدون على أهمية تأمين المنافذ المادية لمفاتيح الشبكة والمعدات المتصلة بأجهزة الصراف الآلي، ويحثون المستجيبين للحوادث على جمع صور الذاكرة وبيانات القرص لتحسين الكشف والاستجابة للهجمات المعقدة.
تعتبر هذه الحادثة تذكيرًا قويًا بأهمية تعزيز الأمن السيبراني في المؤسسات المالية لمواجهة التهديدات المتزايدة.
