De digitale wereld is voortdurend in beweging, en cybercriminelen blijven steeds geavanceerdere technieken ontwikkelen om hun doelen te bereiken. De aanval door de cybercriminele groep UNC2891 is een treffend voorbeeld van de complexiteit en geavanceerdheid van moderne cyberdreigingen. Deze groep richtte zich op banken en andere financiële instellingen, waarbij ze gebruikmaakten van fysieke toegang en geavanceerde malware om hun aanval uit te voeren. In dit artikel onderzoeken we hoe de aanval werd uitgevoerd, welke technieken werden ingezet en wat dit betekent voor de beveiliging van financiële netwerken. We bespreken ook de impact van de aanval en de noodzakelijke maatregelen die genomen moeten worden om dergelijke incidenten in de toekomst te voorkomen.
Fysieke toegang en digitale manipulatie
De aanval door UNC2891 was allesbehalve een gewone cyberaanval. Wat deze aanval zo opmerkelijk maakt, is de manier waarop de aanvallers fysieke toegang tot het netwerk van hun doelwit verkregen. In plaats van gebruik te maken van de gebruikelijke aanvallen via internet, zoals phishing of malwareverspreiding, besloot de groep fysiek toegang te verkrijgen tot het netwerk van de bank. Dit gebeurde door het installeren van een Raspberry Pi met een 4G modem op een netwerkpoort die toegang gaf tot de interne infrastructuur van de bank. Deze slimme zet stelde de aanvallers in staat om een verborgen toegangspad te creëren naar het netwerk, zonder dat dit onmiddellijk werd opgemerkt door de beveiligingssystemen van de bank.
Door deze fysieke toegang konden de cybercriminelen het netwerk binnendringen zonder dat de firewall of andere digitale beveiligingsmaatregelen hen detecteerden. Via dit onopgemerkte kanaal konden de aanvallers een 'persistent remote access kanaal' opzetten, waardoor ze op lange termijn toegang kregen tot het systeem van de bank. Dit stelde hen in staat om hun aanval uit te voeren zonder de gebruikelijke risicofactoren die gepaard gaan met meer zichtbare digitale inbraken. Het gebruik van een Raspberry Pi met een 4G modem is een perfecte illustratie van hoe cybercriminelen zich kunnen aanpassen aan de technologie en de fysieke infrastructuur van hun doelwitten.
De workflow van UNC2891: Met behulp van de TINYSHELL backdoor heeft de aanvaller een uitgaand command and control (C2) kanaal opgezet via een Dynamic DNS domein. Deze opzet maakte continue externe toegang tot het ATM netwerk mogelijk, waarbij perimeterfirewalls en traditionele netwerkbeveiligingen volledig werden omzeild.
Geavanceerde malware en rootkits
Nadat de aanvallers toegang hadden gekregen tot het interne netwerk, zetten ze hun aanval voort door malware te installeren. Een van de belangrijkste tools die UNC2891 gebruikte, was een rootkit die de communicatie tussen de bank en de 'Payment Hardware Security Module (HSM)'* manipuleerde. Het doel van de aanvallers was om de HSM te misleiden en frauduleuze geldtransacties via de bankautomaten uit te voeren. HSM's zijn een belangrijk onderdeel van de infrastructuur van financiële instellingen, omdat ze verantwoordelijk zijn voor het beveiligen van de cryptografische sleutels die worden gebruikt voor veilige betalingen. Het manipuleren van deze systemen zou de cybercriminelen in staat stellen om valse transacties te genereren en geld uit de bank te stelen.
De rootkit die UNC2891 gebruikte was bijzonder geavanceerd. Het werd ontworpen om onopgemerkt te blijven en moeilijk te detecteren te zijn door de gebruikelijke beveiligingssoftware. De aanvallers zorgden ervoor dat hun rootkit zich niet alleen verzonk in het netwerk, maar ook diep in de communicatiesystemen van de bank. Hierdoor konden ze zich verbergen voor de meeste digitale beveiligingsmaatregelen. Door het gebruik van rootkits en andere malware konden de aanvallers het netwerk van de bank volledig overnemen en de controle over de financiële transacties verkrijgen. Deze geavanceerde aanpak maakt duidelijk dat cybercriminelen steeds meer vertrouwd raken met de infrastructuur van hun doelwitten en in staat zijn om steeds complexere technieken te gebruiken.
De netwerkbewakingsserver zendt continu signalen naar zowel de Raspberry Pi als de mailserver.
Anti forensische technieken en verborgen activiteiten
Wat de aanval van UNC2891 nog gevaarlijker maakt, zijn de geavanceerde anti forensische technieken die de groep gebruikte om hun aanwezigheid te verbergen. Cybercriminelen weten dat forensisch onderzoek een belangrijk onderdeel is van het opsporen van cyberaanvallen, en ze hebben hun aanvallen daarom zodanig geconfigureerd dat het moeilijk is om hen te traceren. UNC2891 gebruikte verschillende technieken om hun activiteiten te verbergen voor beveiligingsexperts en forensische onderzoekers.
Een van de technieken die werd toegepast, was het gebruik van zogenaamde "bind mounts"*. Door kritieke bestanden en processen op Linux systemen te verbergen via bind mounts, konden de aanvallers hun kwaadaardige activiteiten verbergen in legitieme systeemonderdelen. Dit zorgde ervoor dat beveiligingsteams de aanwijzingen van een aanval niet konden vinden, zelfs wanneer ze forensisch onderzoek deden. Daarnaast gebruikte de groep proces 'masquerading'*, waarbij kwaadaardige processen werden vermomd als legitieme systeemprocessen, wat het nog moeilijker maakte voor de onderzoekers om verdachte activiteiten te identificeren. Deze anti forensische technieken maken duidelijk dat cybercriminelen niet alleen sterk afhankelijk zijn van technische middelen, maar ook strategisch denken over hoe ze hun aanwezigheid verborgen kunnen houden.
De aanvallers gebruikten ook de mailserver van de bank om persistent te blijven in het netwerk, zelfs nadat hun fysieke toegangspunten, zoals de Raspberry Pi, waren verwijderd. Door zich vast te leggen op een systeem met directe internettoegang, konden de aanvallers opnieuw toegang krijgen tot het netwerk, zelfs nadat hun eerste aanvalspunten waren verholpen. Dit toont aan hoe belangrijk het is voor banken en andere instellingen om niet alleen netwerkbeveiliging te monitoren, maar ook alle toegangs- en communicatiekanalen grondig te inspecteren.
Het multi pivot toegangspad van UNC2891: Dit multi pivot toegangspad, dat fysieke, netwerk- en infrastructuurcontrole combineert, maakte het indammen bijzonder uitdagend en benadrukt de verfijning van de werking van UNC2891.
Hoe de aanval werd verijdeld en wat dit betekent voor de toekomst
Ondanks de geavanceerde aard van de aanval, werd deze uiteindelijk verijdeld, maar niet zonder enige moeite. De aanvallers waren erin geslaagd zich toegang te verschaffen tot het netwerk en verschillende systemen te compromitteren. De rootkit die bedoeld was om de communicatie tussen de HSM en de bank te manipuleren, werd echter niet succesvol geïnstalleerd. De reden dat de aanval niet tot een succesvol resultaat leidde, was omdat de beveiligingsmaatregelen van de bank in staat waren om de verdachte activiteiten tijdig te detecteren.
Dit incident toont aan hoe belangrijk het is dat financiële instellingen hun beveiliging op verschillende niveaus implementeren. Niet alleen digitale toegangspunten, maar ook fysieke toegang tot netwerken moet strikt worden beheerd. Banken moeten in staat zijn om verdachte fysieke toegangspunten snel te identificeren en hun netwerken regelmatig te controleren op ongeautoriseerde toegang. Bovendien moet er gebruik worden gemaakt van geavanceerde monitoringtools die in staat zijn om niet alleen digitale aanvallen, maar ook fysieke toegangspunten te detecteren.
Wat deze aanval ook duidelijk maakt, is de noodzaak voor banken en financiële instellingen om voortdurend hun beveiligingsmaatregelen bij te werken. De wereld van cybercriminaliteit evolueert voortdurend, en aanvallers blijven nieuwe technieken ontwikkelen. Dit betekent dat organisaties proactief moeten zijn in hun verdediging en moeten anticiperen op de nieuwste dreigingen. Het implementeren van een gelaagde beveiligingstrategie en het gebruik van geavanceerde technologieën is essentieel om toekomstige aanvallen te voorkomen.
De weg vooruit: maatregelen voor banken en financiële instellingen
Om zich te wapenen tegen de steeds geavanceerdere cyberdreigingen, moeten banken en financiële instellingen een aantal belangrijke maatregelen nemen. Ten eerste moeten ze de fysieke beveiliging van hun infrastructuur versterken. Het beperken van de toegang tot kritieke netwerksystemen en het implementeren van strikte toegangscontrolemaatregelen is van vitaal belang. Dit geldt niet alleen voor de serverruimtes, maar ook voor alle apparaten die toegang hebben tot het netwerk.
Daarnaast moeten banken zorgen voor een gedegen netwerksegmentatie, zodat kritieke systemen zoals de HSM’s geïsoleerd blijven van minder gevoelige systemen. Dit maakt het voor aanvallers moeilijker om zich lateraal door het netwerk te verplaatsen en helpt de impact van een aanval te beperken. Het implementeren van geavanceerde monitoringtools en het gebruik van forensische technieken is eveneens essentieel. Banken moeten in staat zijn om verdachte activiteiten snel te detecteren en onmiddellijk in actie te komen om schade te beperken.
Ten slotte is het van cruciaal belang dat banken en andere instellingen voortdurend investeren in de opleiding en bewustwording van hun personeel. Alleen door het delen van kennis en het werken met externe cybersecurity experts kunnen ze zich effectief verdedigen tegen de steeds slimmer wordende cybercriminelen.
Wat is?
- Wat is een Raspberry Pi?
Een Raspberry Pi is een klein, betaalbaar computerbord dat vaak wordt gebruikt voor educatieve doeleinden, maar ook voor technische projecten. In dit geval werd het gebruikt door cybercriminelen om ongezien toegang te krijgen tot het netwerk van de bank. - Wat is een 4G modem?
Een 4G modem is een apparaat dat internettoegang biedt via het mobiele 4G netwerk. Het kan draadloos verbinding maken met internet, wat het ideaal maakt voor het omzeilen van netwerkinfrastructuren en beveiligingssystemen, zoals in dit geval bij de bankoverval. - Wat is een rootkit?
Een rootkit is een type malware (kwaadaardige software) die is ontworpen om zichzelf te verbergen op een computer of netwerk. Het stelt aanvallers in staat om ongezien toegang te krijgen tot systemen en controle over te nemen, zonder dat dit wordt opgemerkt door beveiligingssoftware. - Wat is een Payment Hardware Security Module (HSM)*?
Een HSM is een fysiek apparaat dat wordt gebruikt om cryptografische sleutels veilig op te slaan en betalingen te beveiligen. In banken wordt het gebruikt om financiële transacties te versleutelen en om te zorgen dat betalingen veilig kunnen worden uitgevoerd. - Wat is een bind mount*?
Een bind mount is een techniek die wordt gebruikt in besturingssystemen zoals Linux om bepaalde bestanden of mappen aan andere locaties op het bestandssysteem te koppelen. Dit wordt door cybercriminelen gebruikt om kwaadaardige bestanden te verbergen door ze te integreren in legitieme systemen. - Wat is proces masquerading*?
Proces masquerading is een techniek waarbij een kwaadaardig proces zich vermomt als een legitiem proces om zo detectie te voorkomen. Hierdoor wordt het moeilijker voor beveiligingssystemen om verdachte activiteiten te herkennen. - Wat is anti forensisch?
Anti forensisch verwijst naar technieken die door cybercriminelen worden gebruikt om hun sporen te verbergen en het moeilijker te maken voor forensisch onderzoekers om hun activiteiten op te sporen. Het doel is om bewijs van de aanval te wissen of te manipuleren.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: group-ib
Reactie plaatsen
Reacties