Хакеры внедрили 4G Raspberry Pi в банковскую сеть для снятия наличных

Хакерская группа UNC2891, также известная как LightBasin, использовала Raspberry Pi с поддержкой 4G внутри банковской сети для обхода средств защиты. Мошенники пытались вывести наличные.

Одноплатный компьютер был физически подключен к сетевому коммутатору банкомата, создавая невидимый канал во внутренней сети банка. Это позволяло злоумышленникам осуществлять горизонтальное проникновение и внедрять бэкдоры.

По данным Group-IB, которая обнаружила взлом в ходе расследования подозрительной активности в сети, целью атаки было подменить авторизацию банкомата и снять наличные.

В итоге атака не удалась, но этот инцидент стал редким примером сложной гибридной атаки с физическим и удалённым доступом.

Ранее группа уже атаковала банковские системы, в том числе с помощью руткита для ядра Unix «Caketap», созданного для работы на системах Oracle Solaris. Caketap манипулирует ответами модуля безопасности платёжного оборудования (HSM), в частности, сообщениями о проверке карт, для авторизации мошеннических транзакций.

LightBasin также успешно атакует телекоммуникационные системы, используя бэкдор с открытым исходным кодом TinyShell для перемещения трафика между сетями и его маршрутизации через определённые мобильные станции.

В случае с банком группировка получила физический доступ к одному отделению либо самостоятельно, либо подкупив сотрудника, который помог им установить Raspberry Pi с 4G-модемом на тот же сетевой коммутатор, что и банкомат. Возможности исходящего интернет-подключения устройства позволили злоумышленникам поддерживать постоянный удалённый доступ к внутренней сети банка, обходя межсетевые экраны периметра.

На Raspberry Pi был установлен бэкдор TinyShell, который злоумышленник использовал для организации исходящего канала