LightBasin grubu ATM ağına 4G’li Raspberry Pi yerleştirerek banka sistemine sızmaya çalıştı
Siber tehdit grubu LightBasin (UNC2891), fiziksel olarak bir bankanın ATM ağ anahtarına bağladığı 4G bağlantılı Raspberry Pi cihazıyla ağ içi hareketlilik sağladı. Grup, ATM yetkilendirmesini taklit ederek sahte para çekimi hedefledi ancak plan başarısız oldu.
LightBasin (UNC2891) Grubundan Banka Sistemlerine Gelişmiş Hibrit Saldırı
Uluslararası düzeyde bankacılık sistemlerine yönelik siber saldırılarıyla tanınan LightBasin (UNC2891) grubu, fiziksel erişim sağladığı bir bankada sofistike bir hibrit saldırı gerçekleştirdi. Grup, ATM ağına bağlı bir ağ anahtarına 4G modemli Raspberry Pi cihazı yerleştirerek güvenlik duvarlarını aşmayı ve iç ağa kalıcı uzaktan erişim sağlamayı başardı.
Saldırı Tespiti ve Amaç
Group-IB güvenlik firması, bankanın ağında tespit ettiği şüpheli trafik üzerine yaptığı incelemede bu saldırıyı ortaya çıkardı. Saldırının hedefi, ATM işlemlerini taklit ederek haksız nakit para çekimi gerçekleştirmekti.
TinyShell ile Gizli Komuta Kontrol (C2) Bağlantısı
Saldırganlar, Raspberry Pi cihazını TinyShell adlı açık kaynaklı arka kapı yazılımı ile komuta ve kontrol (C2) merkezi olarak yapılandırdı. Cihaz, 4G bağlantısıyla dış dünya ile gizli iletişim kurdu.
Ağda yatay hareketler gerçekleştirilerek Banka'nın Ağ İzleme Sunucusu’na ve ardından doğrudan internet erişimi bulunan E-posta Sunucusu’na erişildi. Böylece saldırganlar iç ağda kalıcı ve geniş kapsamlı erişim sağladı.
İleri Teknikler ve Gizlenme Yöntemleri
Zararlı yazılımlar, Linux sistemlerinde yaygın olan “LightDM” ekran yöneticisine benzer şekilde “lightdm” ismiyle kaydedilerek tespit edilmekten kaçınıldı. Ayrıca tmpfs ve ext4 dosya sistemleri kullanılarak zararlı süreçlerin /proc/[pid] yollarına bağlanması sağlandı; bu teknik adli analiz araçlarının işlem geçmişini görmesini engelledi.
Son Hedef: Caketap Rootkit
LightBasin’in nihai hedefi, Oracle Solaris tabanlı sistemlere Caketap adlı özel rootkit’i kurmaktı. Bu rootkit, ödeme sistemlerindeki HSM (Hardware Security Module) yanıtlarını manipüle ederek reddedilen işlemlerin onaylanmış gibi görünmesini sağlıyordu.
Ancak saldırganlar bu amaca ulaşamadan tespit edildi. Group-IB uzmanları, başarılı olsaydı büyük maddi kayıplar ve ciddi güvenlik ihlalleri yaşanabileceğini vurguladı.
Fiziksel Sızma Şüpheleri ve Ağ İletişimi
Saldırganların bankanın şubesine fiziksel erişim sağlayıp sağlamadığı veya bir içeriden destek alıp almadığı henüz kesinleşmedi. Ağ izleme sunucusunun her 600 saniyede bir, Raspberry Pi cihazına 929 numaralı port üzerinden veri gönderdiği belirlendi; bu da cihazın ağda pivot noktası olarak kullanıldığını gösteriyor.
LightBasin Grubunun Geçmişi
2016’dan beri finans ve telekom sektörlerine yönelik karmaşık siber operasyonlar yürüten LightBasin, Unix sistemleri ve mobil ağ altyapılarına yönelik çok sayıda saldırı gerçekleştirmiş gelişmiş bir tehdit aktörüdür.
Kaynak: CUMHA - CUMHUR HABER AJANSI
Tepkiniz Nedir?
