در حمله‌ای پیشرفته که اخیراً کشف شده، گروهی از هکرها تلاش کردند با بهره‌گیری از ترکیب نفوذ فیزیکی، بدافزار سفارشی و ابزارهای ضدتحلیل، سیستم‌های خودپرداز یک بانک را به‌منظور برداشت‌های غیرقانونی هدف قرار دهند. این عملیات که توسط گروه UNC2891 یا LightBasin اجرا شده، به‌خوبی نشان‌دهنده تهدیدات فزاینده‌ای است که زیرساخت‌های مالی با آن مواجه‌اند.

به گزارش ایتنا و به نقل از تک‌اسپات، تحقیقات از زمانی آغاز شد که شرکت امنیتی Group-IB فعالیتی غیرعادی را در سرور نظارت داخلی بانک مشاهده کرد. پیگیری‌ها منجر به کشف یک دستگاه رزبری‌پای شد که به سوئیچ شبکه‌ی متصل به خودپردازها وصل شده بود. این دستگاه کوچک که به مودم 4G مجهز بود، امکان دسترسی از راه دور برای مهاجمان را حتی با وجود فایروال‌های فعال، فراهم کرده بود.

هکرها با دسترسی فیزیکی – چه به‌طور مستقیم یا با همکاری یک عامل داخلی – توانسته بودند این دستگاه را مخفیانه نصب کنند. این رزبری‌پای به‌عنوان پل ارتباطی، داده‌ها را از سرور نظارت دریافت می‌کرد و به مهاجمان منتقل می‌ساخت. از طریق همین مسیر، مهاجمان به سایر سیستم‌های کلیدی مانند سرور ایمیل که همیشه به اینترنت متصل بود نیز نفوذ کردند.
 

یکی از شگردهای جالب توجه در این حمله، استفاده از درب‌پشتی‌های سفارشی با نام جعلی lightdm بود که شبیه به فرآیندهای قانونی لینوکس طراحی شده بودند. این فایل‌ها در مسیرهای غیرمعمول قرار گرفته و با دستوراتی واقعی اجرا می‌شدند تا از شناسایی فرار کنند.

هدف نهایی نصب روت‌کیت CAKETAP بر سیستم‌های Oracle Solaris بود؛ این بدافزار با جعل اطلاعات احراز هویت در تراکنش‌های غیرقانونی، فرآیند تأیید رمز عبور را دور می‌زد. با این حال، پیش از اجرای مرحله نهایی و برداشت وجه، مداخله به‌موقع Group-IB این عملیات را خنثی کرد.

کارشناسان برای مقابله با چنین حملاتی، بر پایش دقیق فرآیندهای مونت، جلوگیری از اجرای فایل‌ها در دایرکتوری‌های موقت، ایمن‌سازی فیزیکی تجهیزات و تحلیل حافظه و دیسک تأکید دارند.