Braquage de DAB déjoué : des hackers ont utilisé un Raspberry Pi 4G

Dans un tournant high-tech d’un braquage de banque à l’ancienne, un groupe de hackers sophistiqués a planté un Raspberry Pi compatible 4G à l’intérieur du réseau interne d’une banque dans une tentative de voler ses DAB. Mais grâce à des enquêteurs aux yeux perçants, le braquage a été arrêté juste à temps avant que des dommages financiers ne se produisent.

La société de cybersécurité Group-IB a découvert une tentative d’intrusion sophistiquée par UNC2891 (alias LightBasin), un groupe de menaces motivé financièrement connu pour ses attaques contre des banques et des systèmes de télécommunication dans le monde entier depuis 2016. Cette fois, cependant, le groupe a démontré un nouveau niveau de sophistication opérationnelle.

Une intrusion physique rencontre une intrusion numérique

Au cœur de l’attaque se trouvait un Raspberry Pi—un ordinateur de la taille d’une carte de crédit équipé d’un modem 4G. Cet appareil a été physiquement installé sur le même commutateur réseau que le système DAB, contournant les pare-feu et les défenses périmétriques de la banque via des données mobiles. Il hébergeait des logiciels malveillants et servait de nœud de commande et de contrôle pour les attaquants, leur permettant de se déplacer plus profondément dans le réseau sans être détectés.

Group-IB soupçonne que les hackers ont soit infiltré les locaux eux-mêmes, soit soudoyé un initié pour planter l’appareil.

Un réseau sous siège

Une fois à l’intérieur, l’appareil hébergeait une porte dérobée TinyShell, qui établissait un canal de commande et de contrôle (C2) persistant en utilisant le DNS dynamique.

À partir du commutateur compromis, les attaquants se sont déplacés latéralement vers le serveur de surveillance du réseau, un système critique avec des connexions à presque tous les autres serveurs du centre de données de la banque. Une fois celui-ci sous leur contrôle, ils l’ont utilisé pour accéder au serveur de messagerie, qui avait un accès direct à Internet. Même si le Raspberry Pi était découvert, ils avaient une route de secours pour maintenir leur emprise.

Pour éviter d’être détectés, les attaquants ont utilisé une technique anti-forensique Linux non documentée utilisant des montages bind (maintenant reconnus dans MITRE ATT&CK T1564.013) pour obscurcir les processus malveillants.

La porte dérobée était déguisée en un processus système légitime nommé lightdm—un gestionnaire d’affichage Linux connu, et exécuté à partir de chemins non standards comme /tmp/lightdm.

Un autre facteur qui a contribué au haut degré de discrétion de l’attaque était que LightBasin montait des systèmes de fichiers alternatifs (comme tmpfs et ext4) sur des chemins système critiques, cachant avec succès les données de processus de la porte dérobée des outils d’analyse forensique standard.

L’objectif des attaquants était de planter un rootkit personnalisé nommé CAKETAP sur le serveur de commutation DAB de la banque—un système critique qui communique avec le module de sécurité matériel (HSM) de la banque, un appareil qui autorise les transactions DAB—permettant aux hackers de falsifier l’autorisation DAB pour des retraits frauduleux et potentiellement siphonner de grosses sommes d’argent.

Heureusement, Group-IB a détecté l’opération avant que cela ne puisse être réalisé.

Un signal d’alarme pour le secteur bancaire

L’incident est un exemple rare mais glaçant de la manière dont les cybercriminels mélangent l’accès physique avec l’exploitation à distance, les rendant à la fois difficiles à détecter et difficiles à contenir.

Group-IB exhorte les institutions financières à renforcer à la fois leur sécurité physique et numérique, avec des recommandations telles que :

• Verrouiller l’accès physique aux commutateurs réseau, en particulier près de l’infrastructure DAB.
• Surveiller les activités de système de fichiers inhabituelles, en particulier le montage de /proc
• Capturer des images mémoire lors de la réponse aux incidents—pas seulement des instantanés de disque.
• Bloquer ou signaler les binaires qui s’exécutent à partir de chemins suspects comme /tmp ou .snapd.

Cet incident souligne comment un appareil à faible coût comme un Raspberry Pi peut contourner des défenses à plusieurs millions de dollars si l’accès physique est négligé. C’est un rappel frappant que la défense numérique doit également tenir compte des vulnérabilités physiques—car même un petit matériel peut représenter une menace sérieuse s’il est placé entre de mauvaises mains.