网络犯罪团伙利用树莓派攻陷银行ATM

近期，一起利用树莓派对银行ATM机实施网络攻击的案件引发关注。Group - IB本周向《计算机世界》网站披露，2024年第一季度，一伙网络犯罪分子通过巧妙手段，成功从印度尼西亚的一台ATM机上窃取现金，其作案手法令人咋舌。

此次攻击的幕后黑手是一个被网络安全专业人士标记为UNC2891的“威胁集群”，该集群早在2017年就已进入安全人员的视野。值得注意的是，参与此次攻击的成员并非印度尼西亚本地人，也不在该国境内活动。此前，Mandiant公司就发现他们与UNC1945/LightBasin存在关联，而UNC1945/LightBasin又与MustangPanda和RedDelta等团伙有着千丝万缕的联系，可见其背后是一个错综复杂的犯罪网络。

为了实施这次盗窃，犯罪分子雇佣了“跑腿者”，让他们将树莓派物理植入与ATM机相连的银行网络交换机上。这个看似普通的树莓派，实则暗藏玄机，它配备了4G调制解调器，为攻击者打开了远程访问银行内部网络的大门。

成功接入网络后，UNC2891迅速部署了名为Tinyshell的后门程序。通过命令和控制通道以及动态DNS域，该程序在银行网络中建立了持久访问权限。这种手段十分狡猾，能够轻松绕过传统的网络防御措施，如边界防火墙，让银行的安全防线形同虚设。

不仅如此，Tinyshell还同时连接到了树莓派和银行的邮件服务器。由于邮件服务器可直接接入互联网，即便树莓派被断开连接，攻击者依然能够自由访问银行网络，这无疑给后续的取款操作提供了便利。

犯罪分子得手后，银行方面迅速展开调查，取证团队介入处理。然而，UNC2891使用了高超的混淆技术，给取证工作带来了极大困难。例如，他们部署的后门程序伪装成了Linux系统常用的LightDM显示管理器，这一操作充分显示出该团伙在Linux、Unix和Oracle Solaris环境方面的深厚技术功底。

更令人震惊的是，UNC2891还采用了Linux绑定挂载技术来隐藏其后门进程。在攻击发生时，这种技术在公共威胁报告中尚未有相关记录，可见其手段之新颖和隐蔽。如今，这种技术已被MITRE的ATT&CK框架认定为T1564.013，成为了网络安全领域的新威胁。

防御者们并没有坐以待毙，他们成功阻止了UNC2891实现最终目标。据研究人员分析，该团伙的最终企图是部署“Caketap” rootkit，伪造授权信息，从而进行更多现金取款。如果这一计划得逞，后果将不堪设想。