Tin tặc dùng Raspberry Pi giấu kín và phần mềm độc hại tùy chỉnh để tấn công ATM ngân hàng

Một âm mưu tấn công ATM ngân hàng bị phát hiện nhờ phát hiện Raspberry Pi và phần mềm độc hại tùy chỉnh.

: Các tin tặc UNC2891 lợi dụng Raspberry Pi để tấn công hệ thống ATM ngân hàng qua một 4G modem, cho phép kết nối từ xa bất chấp tường lửa. Điều tra bắt đầu khi Group-IB nhận thấy hoạt động bất thường từ máy chủ nội bộ ngân hàng, dẫn đến việc phát hiện thiết bị bất hợp pháp này trong hạ tầng ATM. Mục tiêu cuối cùng là sử dụng rootkit CAKETAP để thao túng các giao dịch rút tiền ATM nhưng đã bị ngăn chặn kịp thời. Nhóm điều tra khuyến cáo cần giám sát chặt chẽ cả hoạt động vật lý lẫn kỹ thuật số để phòng ngừa các tấn công tương tự.

Các tin tặc gần đây đã cố gắng thực hiện một vụ tấn công tinh vi vào mạng lưới ATM của một ngân hàng bằng cách lén lút lắp đặt một thiết bị Raspberry Pi nhỏ gọn có tích hợp modem 4G. Chiếc máy tính tí hon này được bí mật kết nối vào cùng switch mạng với các máy ATM, đưa nó vào sâu bên trong mạng nội bộ của ngân hàng. Nhờ kết nối qua mạng di động, nhóm tấn công có thể truy cập từ xa mà không cần đi qua các lớp bảo mật ngoại vi hay tường lửa.

Khi đã thâm nhập thành công, Raspberry Pi chạy một công cụ phần mềm độc hại tùy chỉnh có tên TINYSHELL, sử dụng dịch vụ DNS động để kết nối về máy chủ điều khiển của tin tặc. Nhờ vậy, họ duy trì được quyền truy cập lâu dài mà không cần dựa vào hạ tầng bị giám sát của ngân hàng. Phần mềm độc hại này được lập trình rất tinh vi nhằm tránh bị phát hiện và dường như được phát triển chuyên biệt để tấn công vào hệ thống ATM.

Để che giấu hoạt động, nhóm tấn công sử dụng các kỹ thuật chống giám sát cao cấp, trong đó có thủ thuật "bind mount" trên hệ điều hành Linux nhằm ghi đè thư mục tiến trình hệ thống và làm giả thông tin tiến trình. Việc này giúp che giấu các tiến trình độc hại khỏi mắt người quản trị và công cụ giám sát hệ thống. Kỹ thuật này được MITRE ATT&CK phân loại là T1564.013.

Mục tiêu cuối cùng là cài đặt một rootkit có tên CAKETAP vào máy chủ chuyển mạch ATM. CAKETAP được thiết kế để chặn và giả mạo các lệnh xác thực gửi tới và đi từ mô-đun bảo mật phần cứng (HSM), từ đó cho phép thực hiện các giao dịch rút tiền trái phép. Tuy nhiên, cuộc tấn công đã bị phát hiện và ngăn chặn kịp thời trước khi kẻ tấn công đạt được mục tiêu, không có thiệt hại tài chính nào xảy ra.

Chiến dịch này được quy cho nhóm UNC2891, còn được biết đến với tên LightBasin – một tổ chức tội phạm mạng có động cơ tài chính. Nhóm này từng thực hiện nhiều vụ tấn công phức tạp nhằm vào lĩnh vực viễn thông và tài chính, thường sử dụng công cụ tự phát triển. Các phương thức tấn công của họ cho thấy trình độ kỹ thuật rất cao và hiểu biết sâu sắc về các điểm yếu trong hạ tầng ngân hàng.

Nguồn: The Hacker News, Group-IB, BleepingComputer, Ars Technica, CyberPress

An ninh mạngbảo mậtphần cứng