UNC2891 Hacking Grubu: LightBasin’in Başarısız Saldırı Denemesi
LightBasin veya diğer adıyla UNC2891, bankaların güvenlik savunmalarını aşmak için yeni bir saldırı yöntemi geliştirdi. Raspberry Pi adı verilen 4G destekli bu küçük bilgisayar, bir bankanın ağına gizlice yerleştirildi. Bu sayede saldırganlar, bankanın iç ağına görünmeyen bir kanal açarak hareket etmeye ve geri kapılar yerleştirmeye olanak sağladı.
Saldırının amacı, ATM yetkilendirmesini taklit ederek sahte para çekimlerinde bulunmaktı. Ancak LightBasin bu planını gerçekleştiremese de, bu durum, fiziksel ve uzaktan erişim kombinasyonu ile gerçekleştirilen gelişmiş bir saldırı örneği olarak dikkatleri üzerine çekti.
Gelişmiş Hedefler ve Caketap
LightBasin, 2016 yılından bu yana aktif olan bir grup olarak, finans sektörüne yönelik bankacılık sistemlerine yönelik gerçekleştirdiği saldırılarla tanınıyor. 2022 yılında Mandiant tarafından yayınlanan bir raporda, bu grubun kullanımıyla ilgili ortaya çıkan yeni Unix çekirdek rootkit olan Caketap, dikkat çekmişti. Bu rootkit, bankaların sistemlerinin engelleyeceği sahte işlemler için kart doğrulama mesajlarını manipüle ediyor.
Grubun hedefleri arasında telekomünikasyon sistemlerinin yanı sıra bankacılık sistemleri de bulunuyor. TinyShell adlı açık kaynaklı geri kapı yardımıyla, verilerin mobil istasyonlar üzerinden yönlendirilmesi sağlanıyor.
Raspberry Pi’nin Rolü
Son saldırıda LightBasin, bir bankanın şubesine fiziksel erişim sağladı. Bunun ya kendi başlarına ya da bir çalışanı rüşvetle kandırarak gerçekleştirildiği düşünülüyor. Raspberry Pi bir 4G modem ile aynı ağ anahtarına bağlandı. Bu cihazın dış internet bağlantısı, saldırganların bankanın iç ağına sürekli erişim sağlamasına olanak tanıdı.
Raspberry Pi, saldırganların mobil veri üzerinden dışa yönelik bir komut ve kontrol (C2) kanalı kurmasına yardım eden TinyShell geri kapısını barındırıyordu. Sonraki aşamalarda, tehdit aktörleri Ağ İzleme Sunucusuna doğru yan hareket etti. Bu sunucunun bankanın veri merkezine geniş bağlantısı vardı.
Gizlilik ve İzleme
Saldırganlar, Ağ İzleme Sunucusu üzerinden Posta Sunucusuna geçiş yaparak, Raspberry Pi keşfedildiğinde bile kalıcılığı sağladılar. Bu süreçte kullandıkları geri kapılar, ‘lightdm’ adıyla adlandırılmıştır. Bu, Linux sistemlerinde bulunan meşru LightDM görüntü yöneticisini taklit ederek, zararsız görünmelerini sağlıyordu.
LightBasin’in saldırısının gizlilik derecesini artıran diğer bir unsur ise alternatif dosya sistemlerini kullanmalarıdır. tmpfs ve ext4 dosya sistemlerini kötü niyetli süreçlerin ‘/proc/[pid]’ yollarının üzerine monte ederek, ilgili meta verilerin forensics araçlarından gizlenmesini sağladılar.
Group-IB tarafından yapılan araştırmalara göre, bankanın içindeki Ağ İzleme Sunucusu, her 600 saniyede bir Raspberry Pi ile 929 numaralı port üzerinden sinyal gönderiyordu. Bu da, cihazın bir pivot ana bilgisayar işlevi gördüğünü gösteriyor. Araştırmacılar, saldırganların nihai amacının Caketap rootkit’ini dağıtmak olduğunu ancak bu planın başarısız olduğunu belirtiyor.
Güvenlik ve Önlemler
Bankalar ve finansal kurumlar, böyle gelişmiş tehditleri önlemek için daha güçlü güvenlik önlemleri almak zorundadır. Fiziksel güvenlik önlemleri, uzaktan erişim kontrolleri ve sürekli izleme gereklidir. Raspberry Pi gibi küçük cihazların bankanın iç ağına sızabilmesine olanak tanıyan açıkların kapatılması önemlidir.
Sistem yöneticileri, ağ trafiğini düzenli olarak analiz etmeli ve şüpheli aktiviteleri takip etmelidir. Ayrıca, çalışanlarına güvenlik konusunda sürekli eğitim verilmesi, iç tehditlerin engellenmesinde önemli bir adımdır.
Sonuç olarak, LightBasin gibi grupların saldırılarına karşı koyabilmek için yalnızca yazılım tabanlı çözümler yeterli değildir. Fiziksel güvenlik, insan etkeninin doğru yönetimi ve sürekli güncellenen güvenlik protokolleri kombinasyonu, bankaların bu tür tehditlere karşı dayanıklılığını artıracaktır.
