ATM 抢劫案挫败:黑客使用 4G Raspberry Pi
在一次老式银行抢劫案的高科技改造中,一群经验丰富的黑客在银行的内部网络中植入了支持 4G 的 Raspberry Pi,试图抢劫其 ATM 机。但多亏了目光敏锐的调查人员,这起抢劫案在造成任何经济损失之前被及时制止。
网络安全公司 Group-IB裸露UNC2891(又名 LightBasin)发起了一次复杂的入侵尝试,这是一个出于经济动机的威胁组织,自 2016 年以来以对全球银行和电信系统的攻击而闻名。然而,这一次,该组织表现出了新的操作复杂程度。
物理入侵遇上数字入侵
攻击的核心是 Raspberry Pi——一台配备 4G 调制解调器的信用卡大小的计算机。该设备与 ATM 系统物理安装在同一网络交换机上,通过移动数据绕过银行的防火墙和外围防御。它托管恶意软件并充当攻击者的命令和控制节点,使他们能够在不被发现的情况下深入网络。
参见:黑客可以在 Android 上恢复已删除的照片吗?是的!这是战术
Group-IB 怀疑黑客要么自己潜入了该场所,要么贿赂内部人士安装了该设备。
被围攻的网络
一旦进入,该设备就会托管一个 TinyShell 后门,该后门使用动态 DNS 建立了持久的命令和控制 (C2) 通道。
攻击者从受感染的交换机横向转移到网络监控服务器,这是一个与银行数据中心中几乎所有其他服务器连接的关键系统。一旦在他们的控制之下,他们就用它来访问可以直接访问互联网的邮件服务器。即使树莓派被发现,他们也有备用路线来保持立足点。
为了逃避检测,攻击者采用了一种未记录的 Linux 反取证技术,该技术使用绑定安装(现已在 MITRE ATT&CK T1564.013 中得到认可)来掩盖恶意进程。
该后门伪装成名为 lightdm 的合法系统进程(一种已知的 Linux 显示管理器),并从 /tmp/lightdm 等非标准路径执行。
导致攻击高度隐蔽的另一个因素是 LightBasin 在关键系统路径上安装替代文件系统(如 tmpfs 和 ext4),成功地向标准取证工具隐藏了后门的进程数据。
攻击者的目标是在银行的 ATM 交换服务器上植入一个名为 CAKETAP 的自定义 rootkit,该服务器是与银行的硬件安全模块 (HSM) 进行通信的关键系统,该模块是授权 ATM 交易的设备,允许黑客欺骗 ATM 授权以进行欺诈性提款,并有可能窃取大量现金。
值得庆幸的是,Group-IB 在此之前就检测到了该操作。
给银行业敲响了警钟
该事件是一个罕见但令人毛骨悚然的例子,说明网络犯罪分子如何将物理访问与远程利用结合起来,使他们既难以检测又难以遏制。
Group-IB 敦促金融机构加强其物理和数字安全,并提出以下建议:
- 锁定对网络交换机的物理访问,尤其是在 ATM 基础设施附近。
- 监视异常文件系统活动,特别是 /proc 的挂载
- 在事件响应期间捕获内存映像,而不仅仅是磁盘快照。
- 阻止或标记从 /tmp 或 .snapd 等可疑路径执行的二进制文件。
这一事件凸显了如果物理访问被忽视,像 Raspberry Pi 这样的低成本设备如何绕过价值数百万美元的防御措施。这是一个鲜明的提醒,数字防御也必须考虑到物理漏洞,因为即使是很小的硬件,如果落入坏人之手,也可能构成严重威胁。
