Furto di Bancomat Sventato: Hacker Hanno Usato un Raspberry Pi 4G

In un colpo di scena ad alta tecnologia su un furto bancario alla vecchia maniera, un gruppo di hacker sofisticati ha piantato un Raspberry Pi abilitato al 4G all’interno della rete interna di una banca nel tentativo di saccheggiare i suoi bancomat. Ma grazie a investigatori attenti, il furto è stato fermato in tempo prima che si verificassero danni finanziari.

La società di cybersecurity Group-IB ha scoperto un tentativo di intrusione sofisticato da parte di UNC2891 (noto anche come LightBasin), un gruppo di minacce motivato finanziariamente noto per i suoi attacchi a banche e sistemi di telecomunicazione in tutto il mondo dal 2016. Questa volta, tuttavia, il gruppo ha dimostrato un nuovo livello di sofisticazione operativa.

Un’intrusione Fisica Incontra l’Intrusione Digitale

Al centro dell’attacco c’era un Raspberry Pi—un computer delle dimensioni di una carta di credito dotato di un modem 4G. Questo dispositivo è stato fisicamente installato sullo stesso switch di rete del sistema ATM, eludendo i firewall e le difese perimetrali della banca tramite dati mobili. Ha ospitato malware e ha servito come nodo di comando e controllo per gli attaccanti, consentendo loro di muoversi più in profondità nella rete senza essere rilevati.

Group-IB sospetta che gli hacker siano entrati nei locali da soli o abbiano corrotto un insider per piantare il dispositivo.

Una Rete Sotto Assedio

Una volta all’interno, il dispositivo ha ospitato una backdoor TinyShell, che ha stabilito un canale di comando e controllo (C2) persistente utilizzando Dynamic DNS.

Dallo switch compromesso, gli attaccanti si sono mossi lateralmente verso il Server di Monitoraggio della Rete, un sistema critico con connessioni a quasi tutti gli altri server nel data center della banca. Una volta che questo era sotto il loro controllo, lo hanno utilizzato per accedere al Server di Posta, che aveva accesso diretto a Internet. Anche se il Raspberry Pi fosse stato scoperto, avevano una rotta di backup per mantenere il loro piede.

Per evitare di essere rilevati, gli attaccanti hanno impiegato una tecnica anti-forense Linux non documentata utilizzando bind mounts (ora riconosciuta in MITRE ATT&CK T1564.013) per oscurare i processi malevoli.

La backdoor era mascherata come un processo di sistema legittimo chiamato lightdm—un noto gestore di visualizzazione Linux, ed eseguito da percorsi non standard come /tmp/lightdm.

Un altro fattore che ha contribuito all’alto grado di furtività dell’attacco è stato il montaggio da parte di LightBasin di filesystem alternativi (come tmpfs ed ext4) su percorsi critici di sistema, nascondendo con successo i dati di processo della backdoor dagli strumenti forensi standard.

L’obiettivo degli attaccanti era piantare un rootkit personalizzato chiamato CAKETAP sul server di commutazione ATM della banca—un sistema critico che comunica con il Modulo di Sicurezza Hardware (HSM) della banca, un dispositivo che autorizza le transazioni ATM—consentendo agli hacker di falsificare l’autorizzazione ATM per prelievi fraudolenti e potenzialmente di sottrarre grandi somme di denaro.

Fortunatamente, Group-IB ha rilevato l’operazione prima che questo potesse essere realizzato.

Una Sveglia Per il Settore Bancario

L’incidente è un esempio raro ma inquietante di come i criminali informatici stiano mescolando l’accesso fisico con l’esploitazione remota, rendendoli sia difficili da rilevare che difficili da contenere.

Group-IB esorta le istituzioni finanziarie a rafforzare sia la loro sicurezza fisica che digitale, con raccomandazioni come:

• Bloccare l’accesso fisico agli switch di rete, specialmente vicino all’infrastruttura ATM.
• Monitorare attività insolite del filesystem, specialmente il montaggio di /proc
• Catturare immagini di memoria durante la risposta agli incidenti—non solo snapshot del disco.
• Bloccare o contrassegnare i binari che vengono eseguiti da percorsi sospetti come /tmp o .snapd.

Questo incidente evidenzia come un dispositivo a basso costo come un Raspberry Pi possa eludere difese da milioni di dollari se l’accesso fisico viene trascurato. È un chiaro promemoria che la difesa digitale deve tenere conto anche delle vulnerabilità fisiche—perché anche un piccolo hardware può rappresentare una seria minaccia se messo nelle mani sbagliate.