一個名為 UNC2891(也稱 LightBasin)的駭客組織,在一場近期發現的攻擊中,使用了一台藏在銀行網路內、配備 4G 功能的樹莓派(Raspberry Pi)來繞過安全防禦。
這台單板電腦被實體連接到 ATM 網路交換器,從而建立了一條進入銀行內部網路的隱形通道,讓攻擊者得以進行橫向移動並部署後門程式。
根據資安公司 Group-IB 的說法,他們在調查網路上的可疑活動時發現了這次入侵。攻擊的目標是偽造 ATM 授權,以便進行詐騙性的現金提領。
儘管 LightBasin 的計畫最終失敗,但這次事件是一個罕見的案例,展示了一種結合了實體與遠端存取的高階混合式攻擊,並採用多種反鑑識技術來維持高度的隱密性。
惡名昭彰的銀行攻擊者
這個駭客組織以攻擊銀行系統而惡名昭彰,資安公司 Mandiant 在 2022 年的一份報告中就曾強調過。該報告揭露了一款當時最新的 Unix 核心 Rootkit「Caketap」,它被設計在金融業廣泛使用的 Oracle Solaris 系統上執行。
Caketap 能操縱支付硬體安全模組(HSM)的回應——特別是針對卡片驗證的訊息——從而授權那些原本會被銀行系統阻擋的詐騙交易。
LightBasin 自 2016 年以來就相當活躍,多年來也成功攻擊了電信系統,他們利用開源後門程式「TinyShell」在不同網路間轉移流量,並透過特定的行動基地台進行路由。
攻擊手法分析:樹莓派的妙用
在最新的這起案件中,LightBasin 成員透過自行潛入或賄賂內鬼員工的方式,取得了進入銀行分行的實體權限,並將一台配備 4G 數據機的樹莓派安裝在與 ATM 相同的網路交換器上。
這台裝置的對外連網能力,讓攻擊者得以繞過邊界防火牆,持續地從遠端存取銀行內部網路。樹莓派上執行了 TinyShell 後門程式,攻擊者利用它透過行動數據建立了一個對外的指揮與控制(C2)通道。
在攻擊的後續階段,威脅行為者橫向移動到網路監控伺服器,該伺服器與銀行的資料中心有著廣泛的連線。接著,攻擊者還將陣地轉移到具備直接對外連網能力的郵件伺服器,即使樹莓派被發現並移除,也能確保其存取權限的持續性。
高明的隱匿與偽裝技術
用於橫向移動的後門程式被命名為「lightdm」,以模仿 Linux 系統上合法的 LightDM 顯示管理器,藉此偽裝得毫無危害。
另一個促成這次攻擊高度隱密性的因素,是 LightBasin 將 tmpfs 和 ext4 這類替代檔案系統,掛載於惡意程序的 /proc/[pid] 路徑之上,這項手法實質上遮蔽了相關的元資料(metadata),使其無法被鑑識工具偵測。
根據 Group-IB 的調查,銀行網路內部的網路監控伺服器被發現每 600 秒就會透過 929 連接埠向樹莓派發出一次信標訊號,這表明該裝置被當作一個中樞跳板主機(pivot host)使用。
研究人員表示,攻擊者的最終目標是部署 Caketap rootkit,但這個計畫在實現之前就已經被成功阻止。
延伸閱讀:樹莓派是什麼?為何上市1天股價飆漲近4成?70美元AI套件魅力在哪?一文看懂Raspberry Pi
路由器安全漏洞是它!WPS「一鍵連Wi-Fi」隱藏4大資安風險:如何安全使用?
本文授權轉載自T客邦
