UNC2891: Хакери використовують 4G Raspberry Pi в банківських мережах

Наприкінці липня 2025 року дослідники компанії Group-IB виявили складну атаку на мережу невизначеної фінансової установи. Зловмисники з групи UNC2891 використали нестандартне обладнання, спеціально розроблене шкідливе ПЗ та просунуті методи маскування, намагаючись отримати несанкціонований доступ до інфраструктури банкоматів.

Огляд інциденту

Аналітики безпеки Group-IB повідомили, що зловмисники фізично встановили Raspberry Pi 4 Model B з 4 ГБ оперативної пам’яті LPDDR4 безпосередньо в внутрішній комутатор мережі в сегменті банкоматів. Оснащений модемом Quectel EC25-AU 4G LTE Cat-4, цей пристрій обійшов периметральні фаєрволи та контроль доступу до мережі, виглядаючи як легітимний вузол у сегментованому середовищі банку.

• Технічні характеристики обладнання: Raspberry Pi 4 Model B з 4 ГБ LPDDR4 SDRAM та мікроSD-карткою.
• 4G модем: Модуль Quectel EC25-AU, LTE FDD діапазони 1/3/5/7/8/20, з можливістю переходу на 3G/2G.
• Доступ до мережі: IP-адреса, призначена через DHCP у підмережі банкоматів, з тегуванням VLAN 802.1Q.

Складне шкідливе ПЗ та методи маскування

Зловмисники впровадили Linux-бекдор, що маскувався під дисплейний менеджер LightDM. Використовуючи техніку bind mount (MITRE ATT&CK T1564.013), вони приховали спеціально розроблені бінарні файли та перехоплювали системні виклики файлової системи, щоб уникнути моніторингу цілісності файлів (FIM) та судово-медичних інструментів.

Технічний аналіз: Rootkit на базі Linux Bind Mount

1. Створити приховану директорію (наприклад, /opt/.ldm) і помістити туди шкідливий бінарний файл.
2. Змонтувати зловмисний виконуваний файл поверх легітимного: mount --bind /opt/.ldm/lightdm /usr/bin/lightdm.
3. Змінити ld.so.preload, щоб підключити виклики open() та read(), фільтруючи посилання на приховані шляхи.

Цей підхід маскує назви процесів та хеші файлів, створюючи середовище, схоже на rootkit, яке стандартні рішення для моніторингу не можуть виявити.

Архітектура командного центру

Група UNC2891 створила двоканальну архітектуру C2:

• C2 на Raspberry Pi: HTTPS-сигнали через 4G кожні 10 хвилин, використовуючи самопідписані TLS сертифікати.
• Бекдор на поштовому сервері: Вихідний SMTP через порт 587 з власними X-заголовками, що містять зашифровані дані.
• Пивот: Сервер моніторингу мережі з необмеженим доступом у дата-центр, що переадресовує трафік між Pi та поштовим сервером.

Початкові інструменти триажу зафіксували повторювані вихідні з’єднання, але без прив’язаних ідентифікаторів процесів. Лише аналіз дампів пам’яті за допомогою Volatility виявив замаскований процес lightdm, що обробляв мережеві сокети.

Глибший аналіз: Вразливості мережі банкоматів

Сервери комутації банкоматів зазвичай використовують зміцнені ядра Linux або Solaris та взаємодіють з модулями апаратної безпеки (HSM) для криптографічних операцій. Група UNC2891 намагалася перехопити команди HSM, такі як GEN_RND та DEC_PIN, щоб створити дійсні PIN-блоки та EMV-криптограми, що дозволяло б здійснювати несанкціоновані зняття коштів без сповіщення про шахрайство.

Глибший аналіз: Заходи протидії та багатошарова оборона

Експерти галузі рекомендують стратегію багатошарового захисту:

1. Фізична безпека: Встановлення систем відеоспостереження, замків для портів та аутентифікації за допомогою бейджів для критичних мережевих шаф.
2. Мікросегментація мережі: Впровадження політик нульового довіри та брандмауерів нового покоління (NGFW) між VLAN банкоматів та корпоративними мережами.
3. Моніторинг на рівні хоста: Використання аудиту на рівні ядра (наприклад, AuditD) та перевірок незмінності для ключових бінарних файлів, таких як /usr/bin/lightdm.
4. Аналіз поведінки: Впровадження аналітики поведінки користувачів та сутностей (UEBA) для виявлення аномальних сплесків трафіку TLS та SMTP.

Думка експерта

“Цей випадок підкреслює злиття фізичних методів вторгнення з просунутим шкідливим ПЗ,” зазначає доктор Олена Рамірес, старший дослідник MITRE. “Організації повинні інтегрувати фізичні засоби безпеки з кіберзахистом, щоб убезпечити свої внутрішні мережі від атак, подібних до порушень у ланцюгах постачання.”

Висновок

Хоча Group-IB змогла зупинити UNC2891 до розгортання rootkit CakeTap на комутаторі банкоматів, цей інцидент свідчить про зростаючу тенденцію: зловмисники поєднують зловживання апаратним забезпеченням IoT з просунутими техніками rootkit. Фінансовим установам необхідно постійно вдосконалювати моніторинг, запроваджувати суворий контроль доступу та проводити регулярні судово-медичні оцінки для захисту своєї критичної інфраструктури.