Assalto a Caixa Eletrônico Frustrado: Hackers Usaram Raspberry Pi 4G

Em uma reviravolta de alta tecnologia em um assalto a banco à moda antiga, um grupo de hackers sofisticados plantou um Raspberry Pi habilitado para 4G dentro da rede interna de um banco na tentativa de roubar seus caixas eletrônicos. Mas, graças a investigadores atentos, o assalto foi interrompido a tempo antes que qualquer dano financeiro ocorresse.

A empresa de cibersegurança Group-IB descobriu uma tentativa de intrusão sofisticada pelo UNC2891 (também conhecido como LightBasin), um grupo de ameaças motivado financeiramente conhecido por seus ataques a bancos e sistemas de telecomunicações em todo o mundo desde 2016. Desta vez, no entanto, o grupo demonstrou um novo nível de sofisticação operacional.

Uma Quebra Física Encontra Intrusão Digital

No centro do ataque estava um Raspberry Pi—um computador do tamanho de um cartão de crédito equipado com um modem 4G. Este dispositivo foi fisicamente instalado no mesmo switch de rede que o sistema de caixa eletrônico, contornando os firewalls e defesas de perímetro do banco via dados móveis. Ele hospedava malware e servia como um nó de comando e controle para os atacantes, permitindo que eles se movessem mais profundamente na rede sem serem detectados.

A Group-IB suspeita que os hackers ou infiltraram as instalações eles mesmos ou pagaram um insider para plantar o dispositivo.

Uma Rede Sob Cerco

Uma vez dentro, o dispositivo hospedou um backdoor TinyShell, que estabeleceu um canal de comando e controle (C2) persistente usando DNS Dinâmico.

Do switch comprometido, os atacantes se moveram lateralmente para o Servidor de Monitoramento de Rede, um sistema crítico com conexões para quase todos os outros servidores no centro de dados do banco. Uma vez que isso estava sob seu controle, eles o usaram para acessar o Servidor de Email, que tinha acesso direto à internet. Mesmo que o Raspberry Pi fosse descoberto, eles tinham uma rota de backup para manter sua posição.

Para evitar a detecção, os atacantes empregaram uma técnica de anti-forense Linux não documentada usando montagens bind (agora reconhecida no MITRE ATT&CK T1564.013) para obscurecer processos maliciosos.

O backdoor foi disfarçado como um processo de sistema legítimo chamado lightdm—um conhecido gerenciador de exibição Linux, e executado de caminhos não padrão como /tmp/lightdm.

Outro fator que contribuiu para o alto grau de furtividade do ataque foi o LightBasin montando sistemas de arquivos alternativos (como tmpfs e ext4) sobre caminhos críticos do sistema, escondendo com sucesso os dados do processo do backdoor de ferramentas forenses padrão.

O objetivo dos atacantes era plantar um rootkit personalizado chamado CAKETAP no servidor de comutação de caixas eletrônicos do banco—um sistema crítico que se comunica com o Módulo de Segurança de Hardware (HSM) do banco, um dispositivo que autoriza transações de caixas eletrônicos—permitindo que os hackers falsificassem a autorização de caixas eletrônicos para saques fraudulentos e potencialmente desviassem grandes quantias de dinheiro.

Felizmente, a Group-IB detectou a operação antes que isso pudesse ser alcançado.

Um Alerta Para O Setor Bancário

O incidente é um exemplo raro, mas assustador, de como os cibercriminosos estão misturando acesso físico com exploração remota, tornando-os difíceis de detectar e desafiadores de conter.

A Group-IB está instando as instituições financeiras a reforçar tanto sua segurança física quanto digital, com recomendações como:

• Restringir o acesso físico aos switches de rede, especialmente perto da infraestrutura de caixas eletrônicos.
• Monitorar atividades incomuns do sistema de arquivos, especialmente a montagem de /proc
• Capturar imagens de memória durante a resposta a incidentes—não apenas instantâneas de disco.
• Bloquear ou sinalizar binários que executam de caminhos suspeitos como /tmp ou .snapd.

Este incidente destaca como um dispositivo de baixo custo como um Raspberry Pi pode contornar defesas de milhões de dólares se o acesso físico for negligenciado. É um lembrete claro de que a defesa digital deve levar em conta as vulnerabilidades físicas também—porque até mesmo um pequeno hardware pode representar uma ameaça séria se colocado nas mãos erradas.