网络安全公司Group-IB在调查某银行网络上的可疑活动时发现了此次入侵,所幸由于发现的比较及时因此黑客并未能成功,不过这种物理+远程访问的攻击案例也属实罕见。
黑客的攻击思路:
通常情况下银行内部网络与公共网络都是隔离的,而ATM机网络则不会直接连接公网避免被攻击,为此UNC2891尝试通过未知方式将附带联网模块的树莓派单板计算机植入到银行内部系统。
目前猜测是UNC2891可能是通过买通银行内鬼的形式委托内鬼将树莓派安装到银行内部网络中(其实也就是接入银行内部网络),当成功安装后,4G模块可以直接连接公共互联网,黑客再通过连接树莓派来接入到银行内部网络。
但树莓派本身也只是跳板之一,安全公司调查后发现UNC2891使用树莓派进入银行内部网络后进行横向移动,在其他系统里植入恶意软件,黑客最终通过4G树莓派与后门程序建立基于蜂窝网络的C2通道。
这个C2通道(C2指的是命令和控制)能够让黑客持续获得银行内部网络的访问权限,同时又可以绕过银行网络的防火墙,因为4G树莓派并不在银行防火墙的覆盖范围内。
在攻击的后续阶段黑客已经横向移动到网络监控服务器,这个服务器与银行的数据中心有更加广泛的连接,如果没有被阻止的话,黑客可能可以实现更多不同类型的攻击。
安全公司怎么发现异常的:
显然安全公司不可能在一开始就想到银行内部竟然被安装了树莓派,Group-IB在调查时发现银行网络中的网络监控服务器每隔600秒会在929端口上向树莓派发送信标信号,这表明这台树莓派充当枢轴主机。
最初安全公司也没想到黑客还能通过物理方式渗透到银行内部,而发现网络上的可疑活动后就可以进行针对性的排查了,最终解开了一起通过物理+远程访问的攻击行为。
值得注意的是UNC2891最终目标应该是部署Caketaprookit后门程序,这个后门程序是专门为甲骨文OracleSolaris系统创建的,该系统被金融机构广泛使用。
Caketaprookit能够操纵支付硬件安全模块响应,特别是银行卡类的响应消息,这可以授权银行系统批准可疑的支付,比如通过ATM机直接取款。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】