ATM’lerdeki Siber Saldırılar : Yeni Bir Tehdit Aktörü UNC2891
Son yıllarda, siber suçlular bankacılık sistemlerine yönelik saldırılarda daha sofistike yöntemler kullanmaya başladılar. Bu bağlamda, UNC2891 adıyla bilinen ve finansal kazanç peşinde koşan bir tehdidin öne çıktığı gözlemlenmiştir. UNC2891, ATM (Automatic Teller Machine) altyapısını hedef alarak, siber- fiziksel bir saldırı gerçekleştirmiştir. Bu saldırı, normalde günümüzde nadir karşılaşılan bir yöntemle yapılmıştır: 4G destekli Raspberry Pi cihazı kullanılarak.
Saldırının Yöntemleri ve Taktikleri
Saldırganlar, ATM ağında doğrudan erişim sağlamak için, fiziksel olarak ATM’ye erişim sağlamayı başarmıştır. Raspberry Pi cihazı, ATM ile aynı ağ anahtarına bağlanarak hedef bankanın ağına sokulmuştur. Bu saldırının nasıl gerçekleştirildiğine dair detaylar henüz netleşmemiş olsa da, saldırının yüksek derecede organize bir yapıya sahip olduğu anlaşılmaktadır.
Güvenlik araştırmacısı Nam Le Phuong, saldırganların TINYSHELL adındaki bir arka kapı aracılığıyla dinamik DNS alanı üzerinden dışarıya açık bir komut ve kontrol (C2) kanalı kurduğunu bildirmiştir. Bu tür bir yapı, saldırganlara ağ güvenlik duvarlarını aşarak ATM ağına sürekli dış erişim sağlama imkanı tanımaktadır.
Hedef Altyapı: ATM Değişim Ağları
UNC2891 ilk olarak Mandiant tarafından 2022 Mart ayında belgelenmiştir. Bu grup, ATM değişim ağlarına yönelik siber saldırılar gerçekleştirmekte, dolandırıcı kartlar kullanarak çeşitli bankalardan yetkisiz nakit çekimleri yapmaktadır. Operasyonun merkezinde, ağ bağlantılarını, süreçleri ve dosyaları gizleyen, ayrıca donanım güvenlik modüllerinden (HSM) gelen kart ve PIN doğrulama mesajlarını engelleyip sahte mesajlar oluşturan CAKETAP adında bir çekirdek modülü kök seti bulunmaktadır.
Bu tür saldırılar, geleneksel güvenlik önlemlerini aşma noktasında büyük bir tehlike teşkil etmektedir. Saldırganların, Linux ve Unix tabanlı sistemler hakkında kapsamlı bilgiye sahip oldukları belirtilmektedir.
Saldırının Teknik Detayları
Grup-IB, etkisiz hale getirilen saldırının niyetinin, ATM değişim sunucusuna CAKETAP kök setini yerleştirerek dolandırıcılık amaçlı ATM nakit çekimlerini kolaylaştırmak olduğunu belirtmektedir. Saldırganların bağlamlarında gizlilik sağlamak adına bind mounts kullanmaları, bu arka kapının süreç listelerinden gizlenmesini sağlamakta ve tespit edilmesini zorlaştırmaktadır.
Ayrıca, çoğu durumda, saldırganın mail sunucusu üzerindeki arka kapıyı kullanarak iç erişim alanını koruduğu ifade edilmektedir. Raspberry Pi cihazının bulunup kaldırılmasının ardından bile, bu arka kapı sayesinde saldırganın içeriye erişim sağladığı görülmektedir.
UNC2891 ve Diğer Tehdit Ağı
UNC2891’in taktiklerinde, daha önce UNC1945 (aka LightBasin) olarak bilinen başka bir tehdit aktörüyle örtüşen unsurlar olduğu değerlendirilmiştir. LightBasin, yönetilen hizmet sağlayıcılarını hedef alarak çeşitli finansal ve profesyonel danışmanlık sektörlerine saldırılar gerçekleştirmiştir. Bu durum, siber suçluların birbirleriyle olan işbirliklerini ve bilgi paylaşımını gözler önüne sererken, aynı zamanda bankacılık sistemlerinin ne kadar kolay hedef alınabilir hale geldiğini de ortaya koymaktadır.
Finansal Suçlar ve Önlemler
Finansal siber suçlara karşı önlemler almanın önemi her geçen gün artmaktadır. ATM’lerdeki siber tehditler, güvenlik açıklarının yanı sıra, kötü niyetli kişilerin gelişmiş teknolojiler kullanarak nasıl hareket ettiklerini göstermektedir. Bankaların bu tür tehditlere karşı önlem alması, sadece teknolojik güvenlik önlemleriyle değil, aynı zamanda çalışanlarının siber güvenlik eğitimleri ile de desteklenmelidir.
Sonuç olarak, UNC2891 gibi yeni tehdit aktörlerinin ortaya çıkışı, bankacılık sektörünün siber güvenlik alanında sürekli bir gelişim içinde olması gerektiğini bir kez daha kanıtlamaktadır. Saldırganların kullandığı yöntemlerin ilerlemesi, güvenlik sistemlerinin de sürekli olarak güncellenmesini kaçınılmaz kılmaktadır. Bu durum, hem bankaların hem de müşterilerin finansal varlıklarını koruma konusunda daha dikkatli olmalarını zorunlu hale getirmektedir.
