ATM 강도 사건 저지: 해커들이 4G 라즈베리 파이 사용

고급 기술을 활용한 구식 은행 강도 사건에서, 정교한 해커 그룹이 은행의 내부 네트워크에 4G 기능이 있는 라즈베리 파이를 심어 ATM을 털려 했습니다. 그러나 날카로운 눈을 가진 조사관 덕분에, 재정적 피해가 발생하기 전에 강도 사건은 제때 저지되었습니다.

사이버 보안 회사 Group-IB는 2016년부터 전 세계의 은행 및 통신 시스템에 대한 공격으로 알려진 재정적 동기를 가진 위협 그룹 UNC2891(일명 LightBasin)의 정교한 침입 시도를 발견했습니다. 그러나 이번에는 그룹이 새로운 수준의 운영 정교함을 보여주었습니다.

물리적 침입과 디지털 침입의 만남

공격의 핵심은 4G 모뎀을 장착한 신용 카드 크기의 컴퓨터인 라즈베리 파이였습니다. 이 장치는 ATM 시스템과 동일한 네트워크 스위치에 물리적으로 설치되어 모바일 데이터를 통해 은행의 방화벽과 경계 방어를 우회했습니다. 이 장치는 악성 코드를 호스팅하고 공격자들을 위한 명령 및 제어 노드 역할을 하여 그들이 탐지되지 않고 네트워크 깊숙이 이동할 수 있게 했습니다.

Group-IB는 해커들이 스스로 시설에 침입했거나 내부자를 매수하여 장치를 심었을 것이라고 의심하고 있습니다.

공격받는 네트워크

내부에 들어가자, 이 장치는 TinyShell 백도어를 호스팅하여 동적 DNS를 사용하여 지속적인 명령 및 제어(C2) 채널을 설정했습니다.

손상된 스위치에서 공격자들은 나중에 네트워크 모니터링 서버로 옮겨갔습니다. 이 서버는 은행 데이터 센터의 거의 모든 다른 서버와 연결된 중요한 시스템입니다. 그들이 이 서버를 장악한 후, 직접 인터넷에 접근할 수 있는 메일 서버에 접근했습니다. 라즈베리 파이가 발견되더라도, 그들은 발판을 유지하기 위한 백업 경로를 가지고 있었습니다.

탐지를 피하기 위해, 공격자들은 문서화되지 않은 리눅스 안티 포렌식 기법을 사용하여 바인드 마운트를 이용해 악성 프로세스를 숨겼습니다(현재 MITRE ATT&CK T1564.013에서 인식됨).

백도어는 lightdm이라는 합법적인 시스템 프로세스처럼 위장되었으며, 비표준 경로인 /tmp/lightdm에서 실행되었습니다.

공격의 높은 은폐 정도에 기여한 또 다른 요소는 LightBasin이 중요한 시스템 경로 위에 대체 파일 시스템(예: tmpfs 및 ext4)을 마운트하여 백도어의 프로세스 데이터를 표준 포렌식 도구에서 성공적으로 숨겼습니다.

공격자들의 목표는 은행의 ATM 스위칭 서버에 CAKETAP이라는 맞춤형 루트킷을 심는 것이었습니다. 이 시스템은 ATM 거래를 승인하는 장치인 은행의 하드웨어 보안 모듈(HSM)과 통신하는 중요한 시스템으로, 해커들이 ATM 승인을 위조하여 사기성 인출을 가능하게 하고 잠재적으로 큰 금액의 현금을 빼내는 것을 허용했습니다.

다행히도 Group-IB는 이 작업이 이루어지기 전에 이를 감지했습니다.

은행 부문에 대한 경각심

이번 사건은 사이버 범죄자들이 물리적 접근과 원격 착취를 혼합하고 있는 드문 사례로, 탐지하기 어렵고 제어하기도 도전적입니다.

Group-IB는 금융 기관들이 물리적 및 디지털 보안을 강화할 것을 촉구하며, 다음과 같은 권장 사항을 제시했습니다:

• ATM 인프라 근처의 네트워크 스위치에 대한 물리적 접근을 차단합니다.
• 비정상적인 파일 시스템 활동, 특히 /proc의 마운트를 모니터링합니다.
• 사건 대응 중 메모리 이미지를 캡처합니다—디스크 스냅샷뿐만 아니라.
• /tmp 또는 .snapd와 같은 의심스러운 경로에서 실행되는 바이너리를 차단하거나 플래그를 지정합니다.

이번 사건은 라즈베리 파이와 같은 저비용 장치가 물리적 접근이 간과될 경우 백만 달러의 방어를 우회할 수 있음을 강조합니다. 이는 디지털 방어가 물리적 취약점도 고려해야 한다는 강력한 경고입니다—작은 하드웨어라도 잘못된 손에 들어가면 심각한 위협이 될 수 있습니다.