24/11/25
Специалисты Group-IB представили подробный разбор многолетней кампании UNC2891, которая показала, насколько изобретательными остаются схемы атак на сети банкоматов.
По данным Group-IB, UNC2891 провела три отдельных вторжения: в феврале 2022 года против одного банка, в ноябре 2023-го — против другого, а затем снова в июле 2024-го вернулась к первому, пишет Securtiylab. Во всех эпизодах использовалась одна и та же упаковка STEELCORGI, что позволило связать инциденты между собой. При первом проникновении злоумышленники получили контроль более чем над 30 системами, что обеспечило долговременное присутствие в инфраструктуре организации.
Отчёт показывает, что техническое вмешательство было лишь частью общей схемы. Группа активно привлекала подставных людей для снятия денег, размещая объявления в поисковых системах и анонимных каналах. Доставку оборудования для работы с клонированными картами организовывали через почтовые сервисы, а процесс вывода средств контролировали удалённо — через TeamViewer или голосовые инструкции от координаторов.
Ключевым элементом атакующего комплекса стал вредоносный модуль CAKETAP — модифицированный руткит, который перехватывал и изменял сообщения внутри банкоматной логики, обходя проверку вводимых PIN-кодов. Кроме того, CAKETAP вмешивался в ответы ARQC, поступающие от аппаратных модулей HSM, что позволяло использовать подделанные карты как полноценные. На фоне активного использования физического доступа такая комбинация давала группировке возможность работать почти незаметно.
Стойкость присутствия в инфраструктуре обеспечивалась набором индивидуально разработанных программ. TINYSHELL — создавал скрытые соединения с сервером управления через динамический DNS; SLAPSTICK — собирал учётные данные, используя ранее внедрённую библиотеку PAM; SUN4ME — строил схему внутренней сети и определял интересующие хосты; альтернативные каналы связи обеспечивались за счёт DNS-туннелирования, OpenVPN-соединений и защищённых HTTPS-каналов.
Для сокрытия присутствия применялись инструменты LOGBLEACH и MIGLOGCLEANER, позволявшие удалять следы из журналов. Дополнительные init-скрипты и служебные файлы systemd запускали бэкдоры после перезагрузки. Заметность вредоносных модулей снижалась за счёт маскировки под распространённые системные имена и использования приёмов с монтированием /proc, что затрудняло анализ.
Group-IB связывает все три эпизода между собой благодаря одинаковым криптографическим ключам, встроенным в STEELCORGI. Такой повтор ключевых артефактов в разные периоды указывает на единую команду, действующую в течение нескольких лет и обладающую необходимыми ресурсами для поддержания инфраструктуры, логистики и удалённого управления сетью подставных лиц.
Аналитики подчёркивают, что снижение числа громких инцидентов с банкоматами не означает исчезновения угрозы. Пример UNC2891 показывает, что фокус сместился в сторону комбинированных схем, где физическое вмешательство сочетается с глубокой технической подготовкой, а цепочка вывода средств продумана не менее тщательно, чем вредоносные механизмы на стороне банка.
