Хакеры из группы UNC2891 использовали компьютеры Raspberry Pi с модемом 4G для атаки в банкомате в Индонезии
Безопасность сети в банках связана с передовыми атаками, проводимыми удаленно. Тем не менее, существуют методы, которые объединяют цифровой и физический мир, составляющие совершенно другую проблему для ИТ -команд. Одним из этих методов является обход безопасности, поместив устройство в инфраструктуру, которая открывает заднюю дверь для системы для хакеров, где даже самые сильные сетевые плотины могут быть бесполезными.
Хакеры используют миникомпьютеры Raspberry Pi с модемами 4G, чтобы получить удаленный и длительный доступ к нему после физического подключения к банковской сети, обходя традиционную безопасность.
Цифровая месть. Хакеры уничтожили 7000 серверов и парализовали крупнейшую российскую авиакомпанию Aerofłot
Специалисты из группы IB обнаружили чрезвычайно продвинутую атаку на банковскую инфраструктуру, в которой группа киберпреступников UNC2891 использовала физический имплантат в виде компьютера Raspberry Pi для доступа к сети банкоматов. Устройство было подключено непосредственно к тому же сетевому переключанию, что и банкомат в индонезийском банке. Это позволило избежать традиционной периферийной безопасности. Raspberry Pi, оснащенный модемом 4G, служившим каналом связи с сервером команды и управления через сеть сотовой связи.
Хакерская атака на репозиториях Toptal на GitHub позволяет распределить вредоносные программы с помощью диспетчера пакетов узлов
Хакеры использовали Backdoor Tinyshell для установления постоянного доступа динамического домена DNS. После доступа ко внутренней сети злоумышленники пошли на сервер мониторинга сети, который имел обширную связь с центром обработки данных банка. Киберпреступники взяли под контроль сервер электронной почты банка. Поскольку он был подключен к Интернету, у хакеров был запасной способ доступа к сети даже после обнаружения скрытого компьютера. Конечная цель атаки состояла в том, чтобы реализовать Cortkita Caketap на банкоматах переключения сервера для выполнения несанкционированных снятий денежных средств из банкоматов.
Новые пробелы в SharePoint Server. Microsoft подтверждает атаки китайских групп и рекомендует немедленную установку исправлений
Наиболее важным элементом этой атаки было использование ранее незарегистрированной методики, предотвращающего обнаружение, используя крепление Linux Bind (механизм, который позволяет вам повторно установить уже установленную файловую систему в другом месте в файловой системе, сохраняя при этом доступ к ней в исходном месте), чтобы скрыть процессы Backdoor от стандартных диагностических инструментов. Хакеры назвали свою программу LightDM, чтобы она выглядела как стандартное программное обеспечение LightDM System (управляет экраном входа и пользовательскими сеансами в Linux). Атакующие использовали крепление привязки для картирования альтернативных файловых систем по пути /(PID) вредоносных процессов. Это эффективно скрыло их метаданные от инструментов, которые ищут и анализировали потенциальные угрозы. Этот метод был официально добавлен в структуру Miter Att & CK, поскольку T1564.011 HID Artifacts Bind Bind Mounts на основе открытий группы IB.
Источник: блог группы IB, Hacker News, Ars Technica
