ما الذي حدث؟
تظهر محاولة سرقة بنكية تم الكشف عنها مؤخرًا مدى تطور وجرأة العمليات الإجرامية الإلكترونية التي تستهدف المؤسسات المالية. تضمنت الحادثة مزيجًا من التسلل الجسدي، البرمجيات الخبيثة المتقدمة، وتدابير مضادة للتفتيش، مما سمح بسحب أموال غير قانونية من أجهزة الصراف الآلي لشبكة بنك مستهدف.
تفاصيل الهجوم
بدأت التحقيقات عندما لاحظت مجموعة Group-IB نشاطًا غير عادي على خادم المراقبة الداخلي لأحد البنوك. أدت التحليلات الإضافية إلى اكتشاف Raspberry Pi متصل فعليًا بمفتاح شبكة أجهزة الصراف الآلي للبنك.
مزودًا بمودم خلوي 4G، قدم هذا الجهاز جسرًا بين الأنظمة الداخلية للبنك والمهاجمين الخارجيين، متجاوزًا الدفاعات التقليدية للشبكة. قدم هذا الإعداد وصولًا مستمرًا عن بُعد عبر بيانات الهاتف المحمول، على الرغم من أن جدران الحماية الخاصة بالبنك كانت نشطة ومهيأة بشكل صارم.
تحليل الهجوم
تم التعرف على المهاجمين، المعروفين بـ UNC2891 أو LightBasin، الذين حصلوا في البداية على وصول جسدي إلى البنك – ربما من خلال وسائلهم الخاصة أو بمساعدة من أحد المطلعين – لتثبيت Raspberry Pi بشكل سري ضمن بنية أجهزة الصراف الآلي. بعد تثبيته، عمل الجهاز كقناة، حيث كانت خادم المراقبة الداخلي يحاول بشكل متكرر نقل البيانات إلى Raspberry Pi عبر الشبكة المحلية كل عشر دقائق. تتبعت الأدوات الجنائية التي استخدمها المحققون هذه الاتصالات مباشرة إلى الجهاز المخالف.
تمكن المهاجمون من التحرك بشكل جانبي من خلال اختراق أنظمة أساسية أخرى، مثل خادم البريد الذي كان متصلًا دائمًا بالإنترنت. وسعت Raspberry Pi وخادم البريد، اللذان كانا يتواصلان عبر خادم المراقبة، من قاعدة المهاجمين ومرونتهم، مما سمح لهم بتنسيق الإجراءات عبر الشبكة حتى أثناء استجابة البنك للهجوم.
تقنيات مضادة للتفتيش
كانت ميزة مميزة للهجوم هي استخدام أبواب خلفية مخصصة متخفية تحت اسم “lightdm” – وهو اسم مستعار من عملية إدارة العرض الشرعية في لينكس. تم وضع هذه الملفات الخبيثة عمدًا في دلائل غير عادية وتشغيلها مع معلمات سطر أوامر تبدو أصلية لتفادي الكشف. هذه التقنية المضادة للتفتيش أضعفت المراقبة التي كانت تعتمد على فحص بيانات التعريف للنظام.
كان الهدف النهائي من العملية هو التلاعب بتفويض أجهزة الصراف الآلي وتنفيذ سحوبات نقدية غير قانونية. لهذا الغرض، حاولت المجموعة تثبيت rootkit مخصص يعرف باسم CAKETAP – وهو مكون برمجي خبيث تم تحليله سابقًا من قبل الباحثين في التهديدات الذين يحققون في UNC2891.
CAKETAP مصمم لأنظمة Oracle Solaris ويهدف إلى التلاعب باستجابات وحدات أمان الدفع. بشكل محدد، يقوم باعتراض طلبات التحقق من الرقم السري، وللصفقات غير القانونية، يستبدل بيانات المصادقة الشرعية، مما يؤدي بشكل فعال إلى تنفيذ هجوم إعادة التشغيل لتجاوز فحوصات الأمان والموافقة على سحوبات أجهزة الصراف الآلي غير القانونية.
الاستجابة للهجوم
على الرغم من براعته، تم إحباط السرقة قبل أن تكتمل المرحلة الأكثر ضررًا. تمكنت مجموعة Group-IB والمحققون المتعاونون من تحييد التسلل ومنع نشر rootkit CAKETAP قبل أن تحدث خسائر مالية كبيرة.
لتجنب هجمات مماثلة، تنصح مجموعة Group-IB البنوك بمراقبة استدعاءات النظام الخاصة بالتركيب والإزالة عن كثب، مع تنبيه عند أي تركيب لـ /proc/[pid] إلى tmpfs أو أنظمة ملفات خارجية، وحظر أو وضع علامة على الملفات التنفيذية التي تم إطلاقها من دلائل مؤقتة مثل /tmp أو /snapd. كما يؤكدون على أهمية تأمين المنافذ الخاصة بالشبكة والأجهزة المتصلة بأجهزة الصراف الآلي بشكل جسدي، ويدعون المستجيبين للحوادث إلى جمع صور الذاكرة وبيانات القرص لتحسين الكشف والاستجابة للهجمات المعقدة.
