Célpontban az ATM-hálózat
A hackerek elsődleges célja egyértelmű volt: az ATM-rendszert kiszolgáló switching szerver kompromittálása, és ezzel a bank hardveres biztonsági moduljának átvétele. Ez a kb. 1,4 kg-os, tamperálló fizikai eszköz olyan titkosítási kulcsokat tárol, amelyekkel a tranzakciók aláírása és dekódolása zajlik. Ha ezt sikerül manipulálni, a támadók lehetőséget kaphatnak jogosulatlan pénzfelvételre, csalárd ATM-kártyákat használva.
Professzionális elrejtés és kommunikáció
Bár a legtöbb támadás digitális úton történik, most fizikai hozzáférésre is szükség volt: a Raspberry Pi-t közvetlenül egy ATM hálózati kapcsolójára kötötték, és egy 4G modem révén mobilhálózaton keresztül távoli hozzáférést is biztosítottak. A tartós jelenlét érdekében a támadók egy levelezőszervert is megfertőztek; ez a bank teljes adatközpontjába betekintést engedett, így a Raspberry Pi és a backdoor között közvetítőként működött.
Külön érdekesség, hogy a monitorozó szerveren minden 10 percben kimenő jelet észleltek, amely ismeretlen eszközhöz kapcsolódott – később derült ki, hogy ez éppen a befurakodott Raspberry Pi volt. Az analízis során gyanúsan helyezkedett el a lightdm nevű folyamat, amely normál esetben egy nyílt forráskódú megjelenítőmenedzser, most azonban szokatlan helyen bukkant fel. A támadók a Linux rendszerek egyik rendszergazdai trükkjével, a bind mounttal álcázták a rosszindulatú folyamatot, utánozva a megszokott paramétereket.
Ujjlenyomatok és MI-szintű trükkök
Külön figyelmet érdemel, hogy a támadástechnika újdonsága abban rejlik, hogy a támadók még a fejlett digitális igazságügyi szoftverek elől is sikeresen elrejtették jelenlétüket. A backdoor folyamatokat úgy nevezték el, hogy azok megtévesztő módon legális Linux-folyamatoknak tűnjenek, így a kutatók számára is nehezebb volt azonosítani őket. A Group-IB ezt a technikát hozzá is adta a MITRE ATT&CK keretrendszerhez „Artefaktok elrejtése: bind mountok” (Hide Artifacts: Bind Mounts) néven.
Elrettentő példák és következtetés
A támadók végül nem értek célt, a támadást időben észlelték és megszüntették, mielőtt a legfontosabb szervert sikerült volna kompromittálniuk. Összefoglalásként megállapítható, hogy az újfajta, MI-alapú támadási és rejtőzködési módszerek komoly kihívás elé állítják a bankokat: ma már a fizikai és digitális biztonsági rendszerek szoros együttműködésére van szükség ahhoz, hogy elkerülhető legyen egy ilyen szintű betörés.
