داستان عجیب و یهکم ترسناکِ این ماجرا رو گوش کن! یه گروه خلافکار حسابی خلاق اومدن یه رسپبریپای (Raspberry Pi – یه کامپیوتر کوچیک و ارزون که خیلیا باهاش پروژه درست میکنن) رو که مجهز به مودم 4G بود، قاچاقی وارد شبکهی یه بانک کردن. یعنی چی؟
کل قضیه این بود که این خلافکارا تونستن فیزیکی به تجهیزات داخلی بانک دسترسی پیدا کنن. یعنی بهجای این که فقط پشت لپتاپ نشسته باشن و سعی کنن رمز شبکه رو بشکنن، خودشون رفتن و این رسپبریپای رو (که با سیمکشی و کلی احتیاط قایمش کرده بودن) روی همون سوییچی نصب کردن که عابربانکها رو به شبکه وصل میکرد. خلاصه مستقیم رفتن وسط قلب شبکهی بانک!
این رسپبریپای یه مودم 4G داشت، یعنی خودش به راحتی میتونست با بیرون از بانک ارتباط بگیره، بدون اینکه لازم باشه از اینترنت و تجهیزات خود بانک رد بشه. اینجوری نه فایروالها (firewall یعنی همون دیوار آتیشی داخل شبکه برای جلوگیری از نفوذ) و نه آنتیویروس و سیستمهای امنیتی نمیتونستن راحت پیداش کنن.
نکته جالب این بود که این دستگاه هر 600 ثانیه (یعنی هر 10 دقیقه) یه پیام رد و بدل میکرد؛ اینجوری اونقدر کمسروصدا بود که هیچ مانیتورینگی حتی بهش شک هم نکرد. از اون طرف، خلافکارا یه بدافزار خیلی خفن هم روش نصب کرده بودن که خودش رو به اسمهای مشابه برنامههای قانونی لینوکس جا زده بود. مثلاً پروسهها (process – همون برنامههایی که توی سیستم اجرا شدن) اسمشون رو گذاشته بودن «lightdm»، که اسم یه بخش معمولی توی لینوکسه!
بدتر از اون، این بدافزارا رو توی دایرکتوریهای عجیبغریب مثل /tmp اجرا میکردن، چون معمولاً کسی بهشون شک نمیکنه. تازه یه تکنیک جدید هم داشتن به اسم “Linux bind mount” (یعنی اطلاعات مربوط به بدافزار رو طوری قایم میکرد که حتی ابزارای بررسی حافظه هم نمیتونستن پیداش کنن – واقعاً یه روش ضدتحقیقیِ خفن!). این روش اونقدر خاص بود که الان اومده توی فهرست تکنیکهای حرفهایِ MITRE ATT&CK (یه دیکشنری بزرگ از روشهای هک دنیا).
بررسیهای کارشناسا نشون داد که سرور مانیتورینگ بانک داشت هر 600 ثانیه همونطور بیصدا و بیحرکت با این رسپبریپای حرف میزد، اما چون خیلی روتین و بیخطر به نظر میاومد، کسی نفهمیده بود چی شده! وقتی حافظه سرور رو دقیقتر گشتن، دیدن این ارتباطات حتی تا سرور ایمیل داخلی که همیشه به اینترنت وصل بود اجاره داشته و حتی بعد از این که رسپبریپای رو جمع کردن، باز هم هکرها از یه مسیر دیگه توی شبکه مونده بودن! برنامهشون این بود که سرور سوئیچ عابربانک رو هم هک کنن و یه ابزار به اسم Rootkit CAKETAP (یه ابزار خیلی خطرناک برای دستکاری سختافزارهای امنیتی) رو روش نصب کنن. اینطوری میتونستن هر تراکنشی که بخوان رو جعل کنن و پول واقعی از عابربانک بگیرن، بدون اینکه هیچکسی حتی بو ببره!
خلاصه خوشبختانه قبل از اینکه این مرحله نهایی اجرا بشه، لو رفت و بانک تونست جلوی یه فاجعه رو بگیره. اما این داستان نشون میده دیگه فقط بحث هک از راه دور نیست، بعضی وقتا همینکه کسی بتونه فیزیکی وارد شبکه یا محل کار بشه و حتی یه دستگاه کوچیک و بیسروصدا رو جا بده، ممکنه کلی خسارت و کلاهبرداری و حتی سرقت هویت (identity theft یعنی وقتی اطلاعات شخصی یا مالی شما رو میدزدن تا جای شما کار کنن) راه بندازه.
اینجور حملات هیبرید یعنی ترکیب دسترسی فیزیکی و روشهای ضدتحقیقاتی دیجیتال، داره یه خطر جدیتر برای بانکها و شرکتها میشه و نشون میده امنیت فقط بحث نرمافزاری و پسورد قوی نیست، حواسمون باید به چیزای کوچیک و ناشناس توی محیط کار هم باشه!
منبع: +
