En grupp hackare kallad Lightbasin eller UNC2891 har använt en nyskapande metod i ett försök att hacka en icke namngiven banks nätverk för uttagsautomater, rapporterar Ars Technica.
Upptäckten gjordes av Group-IB, som i ett blogginlägg går igenom hur attacken gick till och hur den skiljer sig från tidigare hack mot banknätverk. Vilken bank det var och när hacket utfördes avslöjas inte, förmodligen för att skydda målet.
Attacken började med att hackarna lyckades ansluta en Raspberry Pi med ett 4G-modem till en switch på bankens nätverk. Utifrån det fotfästet kunde de ta över en e-postserver och installera en bakdörr som såg till att de hade fortsatt åtkomst även utan datorn.
Hackarna använde sedan en taktik för att undgå upptäckt som säkerhetsforskarna på Group-IB aldrig tidigare har observerat, som involverar så kallade bind mounts i Linux. De använde även välbekanta Linux-program som täcknamn för att göra bakdörren mer svårupptäckt.
När säkerhetsforskarna spårade misstänkt nätverksaktivitet visade den sig komma från en process kallad lightdm – namnet på ett skärmhanteringsprogram som används i flera Linux-varianter. Men när de grävde vidare upptäckte de att programfilen låg på en ovanlig plats på disk (i /tmp-mappen).
Målet för hackarna var servern som sköter kommunikationen mellan uttagsautomater och banknätet, på vilken de försökte installera en bakdörr kallad Caketap. Hade de lyckats hade de kunnat ta ut pengar utan att ta dem från något konto, men Group-IB upptäckte attacken i tid och kunde stoppa den.
