Tin tặc nhắm vào hệ thống mạng của ngân hàng với Rootkit mới nhằm đánh cắp tiền từ máy ATM

Một nhóm tin tặc có động cơ tài chính được phát hiện đã triển khai một rootkit trước đây chưa được biết đến nhằm vào các hệ thống Oracle Solaris với mục tiêu xâm phạm mạng chuyển mạch của ATM và thực hiện rút tiền trái phép tại các ngân hàng khác nhau bằng thẻ ngân hàng giả.



Công ty ứng phó sự cố và tình báo mối đe dọa Mandiant đang theo dõi nhóm này với biệt danh UNC2891. Một số chiến thuật, kỹ thuật và thủ tục của nhóm này trùng lặp với một nhóm khác có biệt danh là UNC1945 .



Các chuyên gia của Mandiant cho biết trong một báo cáo mới được công bố trong tuần này rằng các cuộc tấn côngdo nhóm này dàn dựng liên quan đến “Mức độ OPSEC cao và lợi dụng cả mã độc công lẫn tư, các tiện ích và tập lệnh script nhằm xóa bằng chứng và cản trở nỗ lực phản ứng”.



Mandiant đã khôi phục được dữ liệu pháp y trong bộ nhớ từ một trong những máy chủ chuyển mạch ATM bị nạn cho biết rằng một biến thể của bộ rootkit kernel đi kèm với các tính năng chuyên biệt cho phép nó chặn các thông báo xác minh thẻ và mã PIN, và sử dụng dữ liệu bị đánh cắp để thực hiện hành vi rút tiền từ ATM.



Cũng được đưa vào sử dụng là hai backdoor có tên gọi gọi là SLAPSTICK và TINYSHELL. Cả hai đều được cho là có liên quan tới nhóm UNC1945 và được sử dụng để có được quyền truy cập từ xa vào các hệ thống quan trọng cũng như thực thi shell và chuyển file qua rlogin, telnet hoặc SSH.



Các chuyên gia chỉ ra rằng: “Do các nhóm này thường quen thuộc với việc sử dụng các hệ thống dựa trên Unix và Linux, UNC2891 thường đặt tên và cấu hình các cửa hậu TINYSHELL của họ với các giá trị giả mạo là các dịch vụ hợp pháp mà các nhà điều tra có thể bỏ qua, chẳng hạn như systemd (SYSTEMD), bộ đệm dịch vụ daemon (NCSD) và Linux tại daemon (ATD)”.



Ngoài ra, các chuỗi tấn công được phát hiện sử dụng nhiều malware và các tiện ích công khai, bao gồm:




STEELHOUND – Một biến thể của ống nhỏ giọt (dropper) trong bộ nhớ STEELCORGI được sử dụng để giải mã malware được nhúng vào và mã hóa các tệp nhị phân mới.
WINGHOOK – Một keylogger cho các hệ điều hành dựa trên Linux và Unix nhằm ghi lại dữ liệu ở định dạng được mã hóa.
WINGCRACK – Một tiện ích được sử dụng để phân tích những nội dung mã hóa được tạo bởi WINGHOOK.
WIPERIGHT – Một tiện ích ELF xóa các mục nhật ký liên quan đến một người dùng cụ thể trên các hệ thống dựa trên Linux và Unix.
MIGLOGCLEANER – Một tiện ích ELF xóa sạch nhật ký hoặc xóa một số chuỗi nhất định khỏi nhật ký trên các hệ thống dựa trên Linux và Unix.

Các chuyên gia cho biết: “[UNC2891] sử dụng kỹ năng và kinh nghiệm của họ để tận dụng tối đa sự suy giảm về khả năng hiển thị và các biện pháp bảo mật thường có trong môi trường Unix và Linux”. Mặc dù một số điểm trùng lặp giữa UNC2891 và UNC1945 là đáng chú ý, tuy nhiên như vậy là vẫn chưa đủ để đưa ra kết luận rằng liệu các cuộc tấn công có phải do cùng một nhóm thực hiện hay không”.



Theo Thehackernews
The post Tin tặc nhắm vào hệ thống mạng của ngân hàng với Rootkit mới nhằm đánh cắp tiền từ máy ATM appeared first on SecurityDaily .