Atraco a Cajeros Automáticos Frustrado: Hackers Usaron Raspberry Pi 4G

En un giro de alta tecnología a un atraco bancario de la vieja escuela, un grupo de hackers sofisticados plantó un Raspberry Pi habilitado para 4G dentro de la red interna de un banco en un intento de saquear sus cajeros automáticos. Pero gracias a investigadores con ojo agudo, el atraco fue detenido justo a tiempo antes de que ocurriera algún daño financiero.

La firma de ciberseguridad Group-IB descubrió un intento de intrusión sofisticado por parte de UNC2891 (también conocido como LightBasin), un grupo de amenazas motivado financieramente conocido por sus ataques a bancos y sistemas de telecomunicaciones en todo el mundo desde 2016. Sin embargo, esta vez, el grupo demostró un nuevo nivel de sofisticación operativa.

Una Entrada Física Encuentra Intrusión Digital

En el corazón del ataque estaba un Raspberry Pi, una computadora del tamaño de una tarjeta de crédito equipada con un módem 4G. Este dispositivo fue instalado físicamente en el mismo conmutador de red que el sistema de cajeros automáticos, eludiendo los firewalls y defensas perimetrales del banco a través de datos móviles. Alojó malware y sirvió como un nodo de comando y control para los atacantes, permitiéndoles moverse más profundamente en la red sin ser detectados.

Group-IB sospecha que los hackers o bien infiltraron las instalaciones ellos mismos o sobornaron a un interno para plantar el dispositivo.

Una Red Bajo Asedio

Una vez dentro, el dispositivo alojó un backdoor TinyShell, que estableció un canal de comando y control (C2) persistente utilizando DNS dinámico.

Desde el conmutador comprometido, los atacantes se movieron lateralmente al Servidor de Monitoreo de Red, un sistema crítico con conexiones a casi todos los demás servidores en el centro de datos del banco. Una vez que eso estuvo bajo su control, lo usaron para acceder al Servidor de Correo, que tenía acceso directo a internet. Incluso si se descubría el Raspberry Pi, tenían una ruta de respaldo para mantener su posición.

Para evadir la detección, los atacantes emplearon una técnica de anti-forense de Linux no documentada utilizando montajes bind (ahora reconocida en MITRE ATT&CK T1564.013) para oscurecer procesos maliciosos.

El backdoor estaba disfrazado como un proceso del sistema legítimo llamado lightdm, un conocido administrador de pantalla de Linux, y se ejecutó desde rutas no estándar como /tmp/lightdm.

Otro factor que contribuyó al alto grado de sigilo del ataque fue que LightBasin montó sistemas de archivos alternativos (como tmpfs y ext4) sobre rutas críticas del sistema, ocultando con éxito los datos del proceso del backdoor de las herramientas forenses estándar.

El objetivo de los atacantes era plantar un rootkit personalizado llamado CAKETAP en el servidor de conmutación de cajeros automáticos del banco, un sistema crítico que se comunica con el Módulo de Seguridad de Hardware (HSM) del banco, un dispositivo que autoriza transacciones de cajeros automáticos, permitiendo a los hackers falsificar la autorización de cajeros automáticos para retiros fraudulentos y potencialmente desviar grandes sumas de dinero.

Afortunadamente, Group-IB detectó la operación antes de que esto pudiera lograrse.

Una Llamada de Atención Para el Sector Bancario

El incidente es un ejemplo raro pero escalofriante de cómo los cibercriminales están combinando el acceso físico con la explotación remota, haciéndolos tanto difíciles de detectar como desafiantes de contener.

Group-IB está instando a las instituciones financieras a fortalecer tanto su seguridad física como digital, con recomendaciones como:

• Asegurar el acceso físico a los conmutadores de red, especialmente cerca de la infraestructura de cajeros automáticos.
• Monitorear la actividad inusual del sistema de archivos, especialmente el montaje de /proc
• Capturar imágenes de memoria durante la respuesta a incidentes, no solo instantáneas de disco.
• Bloquear o marcar binarios que se ejecuten desde rutas sospechosas como /tmp o .snapd.

Este incidente destaca cómo un dispositivo de bajo costo como un Raspberry Pi puede eludir defensas de millones de dólares si se pasa por alto el acceso físico. Es un recordatorio contundente de que la defensa digital también debe tener en cuenta las vulnerabilidades físicas, porque incluso un pequeño hardware puede representar una amenaza seria si se coloca en las manos equivocadas.