رُصدت مجموعة التهديد المالي UNC2891 وهي تستهدف بنية أجهزة الصراف الآلي (ATM) عبر هجوم مادي قائم على توصيل جهاز Raspberry Pi مزود بشريحة 4G بشبكة البنك من الداخل.
وأوضحت شركة Group-IB أن الهجوم اعتمد على تمكين المهاجم من الوصول الفعلي إلى معدات البنك، حيث قام بتثبيت جهاز Raspberry Pi وربطه مباشرة مع نفس مفتاح الشبكة (network switch) المستخدم من قبل جهاز الصراف، مما مكنه من التواجد فعليًا داخل شبكة المؤسسة المصرفية. ولم يتضح حتى الآن كيفية حصول المهاجم على هذا المستوى من الوصول.
وقال الباحث الأمني نام لو فونغ في تقرير صدر الأربعاء إن “الجهاز كان مزودًا بمودم 4G، ما سمح بالوصول عن بُعد إلى الشبكة المصرفية عبر بيانات الهاتف المحمول”.
قناة تحكم خفية عبر الإنترنت
قام المهاجم باستخدام باب خلفي يُعرف باسم TINYSHELL لإنشاء قناة تحكم واتصال خارجي (C2) عبر نطاق Dynamic DNS، ما أتاح له الحفاظ على اتصال مستمر بشبكة أجهزة الصراف، متجاوزًا بذلك أنظمة الجدران النارية الدفاعية التقليدية.
تم توثيق نشاط مجموعة UNC2891 لأول مرة في مارس 2022 من قبل شركة Mandiant التابعة لجوجل، حيث تم ربطها بهجمات استهدفت شبكات تبديل أجهزة الصراف الآلي لتنفيذ سحب أموال غير مصرح بها باستخدام بطاقات مزيفة في بنوك متعددة.
وكانت الأداة الأساسية المستخدمة في هذا النشاط هي وحدة Rootkit على مستوى النواة تُعرف باسم CAKETAP، صُممت لإخفاء الاتصالات والعمليات والملفات، كما تقوم باعتراض وتزوير رسائل تحقق البطاقة ورقم التعريف الشخصي (PIN) الصادرة عن وحدات الأمان المادية (HSMs)، لتمكين الاحتيال المالي.
تشابه تكتيكي مع مجموعة UNC1945
أشارت التحليلات إلى وجود تقاطع تكتيكي بين مجموعة UNC2891 ومجموعة تهديد أخرى تُعرف باسم UNC1945 أو LightBasin، والتي سبق أن تم توثيق اختراقها لمزودي الخدمات المُدارة (MSPs) واستهدافها لقطاعات مالية واستشارية.
وأوضحت Group-IB أن المهاجم أظهر مستوى عالٍ من الإلمام بأنظمة Linux وUnix، حيث كشفت تحليلاتهم عن أبواب خلفية باسم “lightdm” مزروعة على خادم مراقبة الشبكة الخاص بالضحية، مصممة لإنشاء اتصالات نشطة مع جهاز Raspberry Pi وخادم البريد الداخلي.
أساليب إخفاء متقدمة لتجنب الرصد
أبرز ما يميز هذا الهجوم هو استغلال تقنية bind mounts لإخفاء وجود الباب الخلفي ومنعه من الظهور في قوائم العمليات، ما يصعّب اكتشافه عبر أدوات المراقبة المعتادة.
وكان الهدف النهائي من الهجوم، كما في حوادث سابقة، هو نشر Rootkit CAKETAP على خادم تبديل أجهزة الصراف الآلي وتنفيذ عمليات سحب نقدي احتيالية. ومع ذلك، أكدت الشركة الأمنية أن الحملة تم إحباطها قبل أن يتمكن المهاجم من إلحاق ضرر بالغ.
وقالت Group-IB: “حتى بعد اكتشاف وإزالة جهاز Raspberry Pi، احتفظ المهاجم بالوصول الداخلي من خلال باب خلفي مزروع في خادم البريد”، مضيفة أن “المهاجم اعتمد نطاق Dynamic DNS للتحكم والسيطرة على أنشطته داخل الشبكة”.
