来自 UNC2891 组织的黑客试图通过高科技手段劫持银行 ATM 机,将一台支持 4G 网络的树莓派 (Raspberry Pi) 物理植入银行 ATM 机网络,并使用一种前所未见的 Linux 绑定挂载技术隐藏高级恶意软件,以规避检测。Ars Technica 报道称:“这种伎俩使恶意软件的运行方式类似于 rootkit,后者使用高级技术隐藏自身,使其无法被操作系统检测到。” 尽管在黑客劫持 ATM 机交换服务器之前,这一阴谋就被识破,但这一策略展现了针对金融机构的网络物理攻击达到了新的复杂程度。安全公司 Group-IB 在周三的一份报告中详细介绍了此次攻击,但没有透露被入侵的交换设备位于何处,也没有透露攻击者是如何植入树莓派的。Ars Technica 报道称:为了保持持久性,UNC2891 还入侵了一台邮件服务器,因为该服务器拥有持续的互联网连接。之后,树莓派和邮件服务器后门将使用银行的监控服务器作为中介进行通信。之所以选择监控服务器,是因为它可以访问数据中心内的几乎所有服务器。Group-IB 最初调查该银行网络时,研究人员注意到监控服务器上存在一些异常行为,包括每 10 分钟发出一次的出站信标信号,以及反复尝试连接到未知设备。研究人员随后使用取证工具分析通信。该工具将端点识别为 Raspberry Pi 和邮件服务器,但无法识别负责信标的进程名称。研究人员随后在信标发送时捕获了系统内存。审查发现该进程为 lightdm,一个与开源 LightDM 显示管理器关联的进程。该进程看似合法,但研究人员发现其可疑,因为 LightDM 二进制文件安装在一个不寻常的位置。经过进一步调查,研究人员发现自定义后门的进程被故意伪装,试图迷惑研究人员。 [Group-IB 高级数字取证和事件响应专家 Nam Le Phuong] 解释道:“威胁行为者通过使用进程伪装故意混淆了该后门进程。具体来说,该二进制文件被命名为“lightdm”,模仿了 Linux 系统上常见的合法 LightDM 显示管理器。为了增强欺骗性,该进程使用类似于合法参数的命令行参数执行——例如,lightdm –session child 11 19——试图在入侵后调查中逃避检测并误导取证分析人员。这些后门主动与 Raspberry Pi 和内部邮件服务器建立连接。”
在 Slashdot 上阅读更多内容。