ATM-Heist vereitelt: Hacker nutzten 4G Raspberry Pi

In einer High-Tech-Variante eines altmodischen Bankraubs pflanzte eine Gruppe von raffinierten Hackern einen 4G-fähigen Raspberry Pi in das interne Netzwerk einer Bank, um ihre Geldautomaten auszurauben. Doch dank scharfsichtiger Ermittler wurde der Raub rechtzeitig gestoppt, bevor finanzieller Schaden entstand.

Die Cybersicherheitsfirma Group-IB entdeckte einen ausgeklügelten Eindringversuch von UNC2891 (auch bekannt als LightBasin), einer finanziell motivierten Bedrohungsgruppe, die seit 2016 für ihre Angriffe auf Banken und Telekommunikationssysteme weltweit bekannt ist. Diesmal demonstrierte die Gruppe jedoch ein neues Niveau an operativer Raffinesse.

Ein physischer Einbruch trifft auf digitale Eindringung

Im Mittelpunkt des Angriffs stand ein Raspberry Pi – ein kreditkartengroßer Computer, ausgestattet mit einem 4G-Modem. Dieses Gerät wurde physisch am selben Netzwerk-Switch wie das Geldautomatensystem installiert und umging die Firewalls und Perimetersicherheitsmaßnahmen der Bank über mobile Daten. Es hostete Malware und diente als Kommando- und Kontrollknoten für die Angreifer, was es ihnen ermöglichte, unbemerkt tiefer in das Netzwerk vorzudringen.

Group-IB vermutet, dass die Hacker entweder selbst in die Räumlichkeiten eindrangen oder einen Insider bestochen, um das Gerät zu platzieren.

Ein Netzwerk unter Belagerung

Sobald sie drinnen waren, hostete das Gerät ein TinyShell-Hintertür, das einen persistierenden Kommando- und Kontrollkanal (C2) über Dynamic DNS einrichtete.

Von dem kompromittierten Switch bewegten sich die Angreifer lateral zum Netzwerküberwachungsserver, einem kritischen System mit Verbindungen zu fast jedem anderen Server im Rechenzentrum der Bank. Sobald sie die Kontrolle darüber hatten, nutzten sie es, um auf den Mailserver zuzugreifen, der direkten Internetzugang hatte. Selbst wenn der Raspberry Pi entdeckt wurde, hatten sie einen Backup-Weg, um ihren Fuß in der Tür zu halten.

Um der Entdeckung zu entgehen, verwendeten die Angreifer eine undocumented Linux-Anti-Forensik-Technik unter Verwendung von Bind-Mounts (jetzt in MITRE ATT&CK T1564.013 erkannt), um bösartige Prozesse zu verschleiern.

Die Hintertür wurde als legitimer Systemprozess namens lightdm getarnt – ein bekannter Linux-Display-Manager – und von nicht-standardmäßigen Pfaden wie /tmp/lightdm ausgeführt.

Ein weiterer Faktor, der zum hohen Maß an Stealth des Angriffs beitrug, war, dass LightBasin alternative Dateisysteme (wie tmpfs und ext4) über kritische Systempfade mountete, wodurch die Prozessdaten der Hintertür erfolgreich vor Standard-Forensik-Tools verborgen wurden.

Das Ziel der Angreifer war es, ein benutzerdefiniertes Rootkit namens CAKETAP auf dem Geldautomaten-Schaltserver der Bank zu platzieren – einem kritischen System, das mit dem Hardware-Sicherheitsmodul (HSM) der Bank kommuniziert, einem Gerät, das Geldautomaten-Transaktionen autorisiert – wodurch die Hacker die Autorisierung von Geldautomaten für betrügerische Abhebungen fälschen und potenziell große Bargeldsummen abzweigen konnten.

Glücklicherweise entdeckte Group-IB die Operation, bevor dies erreicht werden konnte.

Ein Weckruf für den Bankensektor

Der Vorfall ist ein seltenes, aber erschreckendes Beispiel dafür, wie Cyberkriminelle physischen Zugang mit remote Ausnutzung kombinieren, was sie sowohl schwer zu erkennen als auch herausfordernd zu kontrollieren macht.

Group-IB drängt Finanzinstitute, sowohl ihre physische als auch digitale Sicherheit zu stärken, mit Empfehlungen wie:

• Physischen Zugang zu Netzwerk-Switches, insbesondere in der Nähe der Geldautomateninfrastruktur, zu sperren.
• Auf ungewöhnliche Dateisystemaktivitäten zu überwachen, insbesondere das Mounten von /proc.
• Speicherabbilder während der Incident-Response zu erfassen – nicht nur Festplattenschnappschüsse.
• Binärdateien zu blockieren oder zu kennzeichnen, die von verdächtigen Pfaden wie /tmp oder .snapd ausgeführt werden.

Dieser Vorfall verdeutlicht, wie ein kostengünstiges Gerät wie ein Raspberry Pi millionenschwere Verteidigungen umgehen kann, wenn physischer Zugang übersehen wird. Es ist eine eindringliche Erinnerung daran, dass digitale Verteidigung auch physische Schwachstellen berücksichtigen muss – denn selbst eine kleine Hardware kann eine ernsthafte Bedrohung darstellen, wenn sie in die falschen Hände gerät.