وكتب نام لو فونج ، أخصائي الطب الشرعي الرقمي في المجموعة ، “أحد أكثر العناصر غير العادية في هذه الحالة ، هو استخدام المهاجم للوصول المادي لتثبيت جهاز Raspberry Pi”. “تم توصيل هذا الجهاز مباشرةً بمفتاح الشبكة نفسه مثل ATM ، مما يضعه بشكل فعال داخل الشبكة الداخلية للبنك. تم تجهيز Raspberry Pi بمودم 4G ، مما يتيح الوصول عن بُعد عبر بيانات الهاتف المحمول.”
للحفاظ على الثبات ، قامت UNC2891 بطرح خادم بريد أيضًا لأنه كان لديه اتصال مستمر بالإنترنت. ثم يقوم Raspberry Pi و Backdoor Server Backdoor باستخدام خادم مراقبة البنك كوسيط. تم اختيار خادم المراقبة لأنه كان لديه إمكانية الوصول إلى كل خادم تقريبًا داخل مركز البيانات.
خادم مراقبة الشبكة كوسيط بين Raspberry Pi وخادم البريد.
الائتمان: المجموعة-IB
خادم مراقبة الشبكة كوسيط بين Raspberry Pi وخادم البريد.
الائتمان: المجموعة-IB
نظرًا لأن Group-IB كان يحقق في البداية في شبكة البنك ، فقد لاحظ الباحثون بعض السلوكيات غير العادية على خادم المراقبة ، بما في ذلك إشارة منارة خارجية كل 10 دقائق ومحاولات الاتصال المتكرر لجهاز غير معروف. ثم استخدم الباحثون أداة جنائية لتحليل الاتصالات. حددت الأداة نقاط النهاية على أنها Raspberry Pi وخادم البريد ، لكنها لم تتمكن من تحديد أسماء العمليات المسؤولة عن المنارة.
أداة فرز الطب الشرعي غير قادر على جمع اسم العملية أو المعرف المرتبط بالمقبس.
الائتمان: المجموعة-IB
أداة فرز الطب الشرعي غير قادر على جمع اسم العملية أو المعرف المرتبط بالمقبس.
الائتمان: المجموعة-IB
ثم استحوذ الباحثون على ذاكرة النظام حيث تم إرسال المنارات. حددت المراجعة العملية على أنها lightdm، وهي عملية مرتبطة بمدير عرض LightDM مفتوح المصدر. يبدو أن العملية شرعية ، لكن الباحثين وجدوا أنها مشبوهة لأن LightDM ثنائي تم تثبيته في موقع غير عادي. بعد مزيد من التحقيق ، اكتشف الباحثون أن عمليات الباب الخلفي المخصص قد تم إخفاءها عن عمد في محاولة لإبعاد الباحثين عن الرائحة.
أوضح فونج:
يتم تعمد عملية التهديد من قبل ممثل التهديد من خلال استخدام عملية التنكر. على وجه التحديد ، يسمى الثنائي “LightDM” ، محاكاة مدير عرض LightDM الشرعي عادة على أنظمة Linux. لتعزيز الخداع ، يتم تنفيذ العملية مع وسيطات سطر الأوامر تشبه المعلمات الشرعية-على سبيل المثال ،
LightDM-طفل واحد 11 19-في محاولة للتهرب من الكشف وتضليل محللي الطب الشرعي خلال تحقيقات ما بعد الرماية.
كانت هذه الأجزاء الخلفية تنشئ بنشاط اتصالات لكل من Raspberry Pi وخادم البريد الداخلي.
كما ذكرنا سابقًا ، تم إخفاء العمليات باستخدام جبل Linux Bind. بعد هذا الاكتشاف ، أضاف Group-IB هذه التقنية إلى إطار Miter ATT & CK كـ “T1564.013-إخفاء القطع الأثرية: ربطات ربط”.
لم يقل Group-IB إلى أين توجد معدات التبديل المعرضة للخطر أو كيف تمكن المهاجمون من زراعة Raspberry Pi. تم اكتشاف الهجوم وإغلاقه قبل أن تمكن UNC2891 من تحقيق هدفه النهائي المتمثل في إصابة شبكة تبديل أجهزة الصراف الآلي باستخدام Backdoor Caketap.
