Nhóm tội phạm mạng có động cơ tài chính UNC2891 đã thực hiện một chiến dịch tấn công mạng tinh vi nhắm vào hạ tầng ngân hàng, đặc biệt là mạng lưới ATM. Cuộc tấn công này sử dụng một thiết bị Raspberry Pi được kết nối trực tiếp vào bộ chuyển mạch mạng nội bộ, tạo ra một mối đe dọa mạng nghiêm trọng.
Phương Thức Xâm Nhập Ban Đầu và Duy Trì Quyền Truy Cập
Thiết bị Raspberry Pi là một phần cứng nhúng, được trang bị modem 4G. Điều này cho phép nhóm tác nhân truy cập từ xa qua dữ liệu di động, bỏ qua các tường lửa biên. Đồng thời, nó thiết lập một kênh Command-and-Control (C2) đi ra ngoài thông qua backdoor TINYSHELL.
Backdoor TINYSHELL liên kết với một tên miền Dynamic DNS, đảm bảo khả năng kết nối liên tục từ bên ngoài. Điều này cho phép nhóm UNC2891 di chuyển ngang qua các hệ thống quan trọng mà không kích hoạt các biện pháp phòng thủ thông thường. Đáng chú ý, cửa hậu vật lý này đã không được phát hiện trong quá trình sàng lọc ban đầu, làm nổi bật khoảng trống trong hệ thống giám sát truyền thống vốn thường bỏ qua các vụ xâm nhập dựa trên phần cứng.
Chiến Thuật Giấu Vết Nâng Cao: Kỹ Thuật Linux Bind Mount
Phân tích pháp y chuyên sâu đã hé lộ vai trò của Raspberry Pi trong các hoạt động beaconing. Các kết nối đi ra ngoài xảy ra cứ sau 600 giây tới cổng 929. Tuy nhiên, không có ID tiến trình (PID) tương ứng nào xuất hiện trong các danh sách tiêu chuẩn. Đây là dấu hiệu rõ ràng của một vụ xâm nhập mạng tinh vi.
Để phát hiện hành vi ẩn này, đội ứng phó đã triển khai một script tùy chỉnh. Script này ghi lại các kết nối socket theo chu kỳ một giây trong 10 phút. Phương pháp này đã phơi bày các hành vi mạng ẩn trong trạng thái hệ thống nhàn rỗi. Các bản sao bộ nhớ (memory dumps) tiếp tục xác định các tiến trình bị che giấu.
Các tiến trình này bao gồm các tệp nhị phân có tên “lightdm” được thực thi từ đường dẫn /tmp và /var/snap/.snapd. Chúng bắt chước trình quản lý hiển thị LightDM hợp pháp với các đối số đánh lừa như “--session child 11 19”. Các backdoor này kết nối tới cả Raspberry Pi và Máy chủ Mail nội bộ.
Nhóm tấn công đã tận dụng một kỹ thuật chống pháp y không được ghi nhận trước đây, liên quan đến Linux bind mounts. Kỹ thuật này hiện được phân loại là MITRE ATT&CK T1564.013 – Process Hiding: Bind Mount. Bằng cách mount các thư mục /proc/[pid] vào tmpfs hoặc các hệ thống tập tin bên ngoài, những kẻ tấn công đã né tránh các công cụ phát hiện.
Kỹ thuật này khiến các tiến trình trở nên vô hình trong danh sách và đánh bại quy trình sàng lọc pháp y thông thường. Đây là một phương pháp nâng cao để che giấu dấu vết của mối đe dọa mạng, gây khó khăn cho việc phát hiện và ứng phó.
Mục Tiêu và Di Chuyển Ngang trong Hạ Tầng Ngân Hàng
Máy chủ Giám sát Mạng (Network Monitoring Server) đóng vai trò là điểm trung tâm. Nó cấp cho UNC2891 quyền truy cập nội bộ rộng rãi nhờ khả năng kết nối trên toàn trung tâm dữ liệu. Ngay cả sau khi thiết bị Raspberry Pi bị gỡ bỏ, khả năng duy trì quyền truy cập vẫn được duy trì thông qua một backdoor trên Máy chủ Mail, vốn có kết nối trực tiếp với internet.
Mục tiêu cuối cùng của nhóm là xâm nhập máy chủ chuyển mạch ATM. Để đạt được điều này, chúng triển khai rootkit CAKETAP. Rootkit này được thiết kế để thao túng các phản hồi của Mô-đun Bảo mật Phần cứng (HSM) và giả mạo các thông báo ủy quyền, nhằm thực hiện các giao dịch rút tiền mặt bất hợp pháp.
May mắn thay, hoạt động này đã bị ngăn chặn trước khi hoàn thành. Tuy nhiên, đường đi tấn công đa điểm kết hợp phần cứng vật lý, hoạt động beaconing mạng và Dynamic DNS để thay đổi IP linh hoạt đã cho thấy khả năng phục hồi của chiến dịch trước các nỗ lực ngăn chặn. Đây là một minh chứng rõ nét về sự phức tạp của mối đe dọa mạng này.
Thách Thức Trong Phát Hiện Xâm Nhập và Biện Pháp Phòng Ngừa
Việc phát hiện cuộc tấn công này phụ thuộc rất nhiều vào các kỹ thuật tiên tiến. Các công cụ tiêu chuẩn đã thất bại khi hệ thống ở trạng thái ngủ và bị che khuất bởi bind mount. Phân tích pháp y bộ nhớ và mạng đã chứng minh tầm quan trọng. Nó hé lộ những bất thường như các kết nối lặp lại mà không có PID hiển thị. Điều này nhấn mạnh sự cần thiết của các công cụ phát hiện xâm nhập chuyên sâu hơn.
Để phòng thủ hiệu quả và giảm thiểu rủi ro từ các mối đe dọa mạng tương tự, các chuyên gia khuyến nghị áp dụng các biện pháp sau:
- Giám sát các lệnh gọi hệ thống
mountvàumountthông qua auditd hoặc eBPF. - Thiết lập cảnh báo khi có các mount thư mục
/proc/[pid]tớitmpfs. - Hạn chế thực thi từ các đường dẫn không an toàn như
/tmphoặc.snapd. - Bảo mật các cổng chuyển mạch vật lý (physical switch ports) để ngăn chặn truy cập trực tiếp.
- Tích hợp kỹ thuật chụp ảnh bộ nhớ (memory imaging) vào quy trình ứng phó sự cố để phân tích pháp y sâu hơn.
Sự cố này nhấn mạnh rằng các điểm mù trong truy cập ban đầu, đặc biệt là các vectơ vật lý, đòi hỏi các mô hình mối đe dọa tích hợp. Các mô hình này cần kết hợp an ninh logic và phần cứng trong môi trường nhạy cảm như ngân hàng. Trong các môi trường này, các rootkit khai thác các tính năng của Linux như bind mounts có thể phá vỡ các quy trình ứng phó đã được thiết lập.
Nguồn tham khảo: Group-IB – UNC2891 Bank Heist
