ATM強盗未遂：ハッカーが4Gラズベリーパイを使用

古典的な銀行強盗のハイテク版として、洗練されたハッカーのグループが銀行の内部ネットワークに4G対応のラズベリーパイを設置し、ATMを略奪しようとしました。しかし、鋭い目を持つ調査官のおかげで、金融的な損害が発生する前に強盗は時間内に阻止されました。

サイバーセキュリティ企業Group-IBは、2016年から世界中の銀行や通信システムへの攻撃で知られる経済的動機を持つ脅威グループUNC2891（別名LightBasin）による洗練された侵入試みを発見しました。しかし、今回はグループが新たな運用の洗練度を示しました。

物理的侵入とデジタル侵入の融合

攻撃の中心には、4Gモデムを搭載したクレジットカードサイズのコンピュータであるラズベリーパイがありました。このデバイスはATMシステムと同じネットワークスイッチに物理的に設置され、モバイルデータを介して銀行のファイアウォールや周辺防御を回避しました。マルウェアをホストし、攻撃者のためのコマンド＆コントロールノードとして機能し、ネットワーク内で検出されずに深く移動することを可能にしました。

Group-IBは、ハッカーが自ら施設に侵入したか、内部の協力者に金を渡してデバイスを設置させたと疑っています。

包囲されたネットワーク

内部に侵入すると、デバイスはTinyShellバックドアをホストし、ダイナミックDNSを使用して持続的なコマンド＆コントロール（C2）チャネルを確立しました。

侵害されたスイッチから、攻撃者はネットワーク監視サーバーに横移動しました。これは、銀行のデータセンター内のほぼすべての他のサーバーに接続されている重要なシステムです。その制御を手に入れると、インターネットに直接アクセスできるメールサーバーにアクセスしました。ラズベリーパイが発見されても、彼らは足場を維持するためのバックアップルートを持っていました。

検出を回避するために、攻撃者はバインドマウントを使用した文書化されていないLinuxアンチフォレンジック技術（現在はMITRE ATT&CK T1564.013で認識されています）を使用して、悪意のあるプロセスを隠しました。

バックドアは、lightdmという正当なシステムプロセスとして偽装されており、/tmp/lightdmのような非標準のパスから実行されました。

攻撃の高い隠密性に寄与したもう一つの要因は、LightBasinが重要なシステムパス上に代替ファイルシステム（tmpfsやext4など）をマウントし、標準的なフォレンジックツールからバックドアのプロセスデータを成功裏に隠したことです。

攻撃者の目的は、銀行のATMスイッチングサーバーにCAKETAPというカスタムルートキットを植え付けることでした。これは、ATMトランザクションを承認するデバイスである銀行のハードウェアセキュリティモジュール（HSM）と通信する重要なシステムであり、ハッカーがATMの承認を偽装して不正な引き出しを行い、大金を siphon off することを可能にしました。

幸いなことに、Group-IBはこれが達成される前にこの操作を検出しました。

銀行セクターへの警鐘

この事件は、サイバー犯罪者が物理的アクセスとリモートの悪用を融合させていることを示す稀でありながら不気味な例です。これにより、検出が難しく、封じ込めが困難になります。

Group-IBは、金融機関に対して物理的およびデジタルセキュリティを強化するよう呼びかけており、以下のような推奨事項を示しています：

• ATMインフラストラクチャの近くにあるネットワークスイッチへの物理的アクセスを制限する。
• 特に/procのマウントに関して、異常なファイルシステムアクティビティを監視する。
• インシデント対応中にメモリイメージをキャプチャする—ディスクスナップショットだけでなく。
• /tmpや.snapdのような疑わしいパスから実行されるバイナリをブロックまたはフラグ付けする。

この事件は、ラズベリーパイのような低コストのデバイスが物理的アクセスが見落とされると百万ドルの防御を回避できることを強調しています。デジタル防御は物理的脆弱性も考慮しなければならないという厳しい警告です—小さなハードウェアでも、間違った手に渡ると深刻な脅威となる可能性があります。