سرقت پول از دستگاه های خودپرداز با استفاده از RootKit جدید


5/5 - (1 امتیاز)

یک هکر با انگیزه مالی مشاهده شده است که یک RootKit ناشناخته را برای سیستم های Oracle Solaris با هدف به خطر انداختن شبکه های Switching دستگاه های (ATM) و سرقت پول از دستگاه های خودپرداز با استفاده از کارت های تقلبی، به کار می گیرد.

شرکت Mandiant در حال ردیابی هکری با نام UNC2891 است که با برخی از تاکتیک‌ ها و تکنیک‌ های هکر دیگری با نام UNC1945 همپوشانی دارد.

محققان Mandiant در گزارش جدیدی که این هفته منتشر شد، گفتند، نفوذ های انجام‌ شده توسط این هکر شامل «درجه بالایی از OPSEC است و از بدافزار های عمومی و خصوصی و ابزارهای کاربردی استفاده می‌ کند».

موضوع نگران کننده تر این است که این حملات در برخی موارد چندین سال طول کشیده، و در تمام این مدت هکر با استفاده از CAKETAP RootKit که برای پنهان کردن اتصالات شبکه، Process ها و فایل‌ ها طراحی شده، شناسایی نشده است.

Mandiant که قادر به بازیابی حافظه Forensic از یکی از سرور های Switch دستگاه ATM قربانی بود، خاطرنشان کرد که یکی از انواع RootKit هسته (Kernel) دارای ویژگی های تخصصی است که به آن امکان می دهد پیام های تأیید کارت و پین را رهگیری کند و از داده های سرقت شده برای برداشت پول نقد از پایانه های خودپرداز استفاده کند.

ATM Machines RootKit

همچنین از دو Backdoor معروف به SLAPSTICK و TINYSHELL استفاده می شود که هر دو به UNC1945 نسبت داده شده و برای دسترسی دائمی از راه دور به سیستم های حیاتی، Shell Execution و انتقال فایل از طریق rlogin، Telnet یا SSH استفاده می شوند.

محققان اشاره کردند: در راستای آشنایی گروه با سیستم‌ های مبتنی بر یونیکس و لینوکس، UNC2891 اغلب Backdoor های TINYSHELL خود را با مقادیری که به عنوان سرویس‌ های قانونی که ممکن است توسط محققین نادیده گرفته شوند، مانند systemd، NCSD و ATD نامگذاری و پیکربندی می‌ کرد”.

علاوه بر این، زنجیره های حمله، از انواع باج افزار و بد افزار ها و ابزار های عمومی استفاده کرده اند، که شامل موارد زیر است:

  • STEELHOUND – گونه ای از Dropper درون حافظه STEELCORGI که ​​برای Decrypt یک Payload و Encrypt باینری های جدید استفاده می شود.
  • WINGHOOK – یک Key Logger برای سیستم عامل های مبتنی بر لینوکس و یونیکس که داده ها را در یک فرمت رمزگذاری شده ضبط می کند.
  • WINGCRACK – ابزاری که برای تجزیه محتوای کدگذاری شده تولید شده توسط WINGHOOK استفاده می شود.
  • WIPERIGHT – یک ابزار ELF که ورودی های لاگ مربوط به یک کاربر خاص را در سیستم های مبتنی بر لینوکس و یونیکس پاک می کند.
  • MIGLOGCLEANER – یک ابزار ELF که لاگ ها را پاک می کند یا رشته های خاصی را از لاگ های سیستم های مبتنی بر لینوکس و یونیکس حذف می کند.

محققان گفتند: «[UNC2891] از مهارت و تجربه خود برای Decreased Visibility و اقدامات امنیتی که اغلب در محیط‌ های یونیکس و لینوکس وجود دارد، استفاده می‌ کند. «در حالی که برخی از همپوشانی‌ ها بین UNC2891 و UNC1945 قابل توجه است، اما باز هم کافی نیست که بتوان نفوذ ها را به یک گروه هکری واحد منتسب کرد.»

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.