网络安全公司Group-IB发现，代号UNC2891的黑客组织（LightBasin）尝试在银行内部网络中植入树莓派单板计算机，旨在连接ATM机网络以直接取出现金。该组织通过未知方式，可能利用内部人员协助，将联网的树莓派接入银行内部系统。一旦成功，黑客便可通过4G模块连接公共互联网，并利用树莓派作为跳板，绕过防火墙，建立基于蜂窝网络的命令与控制（C2）通道，进而植入恶意软件，最终目标是部署Caketap rootkit后门程序，操纵支付硬件安全模块，实现非法取款。此次入侵因发现及时而未遂，但其物理+远程访问的攻击手法十分罕见。

🎯 **新型攻击手法：物理渗透与远程控制结合** UNC2891黑客组织利用树莓派单板计算机，通过物理方式（可能涉及内鬼）植入银行内部网络，并利用其4G模块绕过防火墙，建立蜂窝网络C2通道。这种结合了物理渗透和远程访问的攻击方式，为银行网络安全带来了新的挑战。

💰 **直接目标：控制ATM机窃取现金** 黑客的最终目的是连接银行的ATM机网络，从而获得对ATM机的控制权，并直接从中提取现金。为此，他们计划在银行系统中植入名为Caketap的rootkit后门程序，该程序专门针对Oracle Solaris系统，能够操纵支付硬件安全模块，授权可疑支付。

📡 **隐蔽的命令与控制通道** 攻击者通过在树莓派上植入恶意软件，并利用4G模块建立的C2通道，能够持续获得银行内部网络的访问权限。由于此通道不处于银行防火墙的覆盖范围内，大大增加了其隐蔽性，使得检测和防御更加困难。

🔍 **安全公司的发现过程** Group-IB在调查银行网络中的可疑活动时，注意到网络监控服务器每隔600秒会向树莓派发送信标信号，这表明树莓派充当了枢轴主机。通过对网络异常的深入排查，安全公司最终揭露了这起利用物理+远程访问的复杂攻击行为。

💡 **潜在的更大威胁** 在攻击的后续阶段，黑客已成功横向移动到网络监控服务器，该服务器与银行数据中心有着更广泛的连接。若未被及时阻止，黑客可能借此实现更多类型、更具破坏性的攻击，对银行的整体运营和数据安全构成严重威胁。

代号 UNC2891 的黑客组织 (也被称为 LightBasin) 日前尝试在银行内部网络中安装树莓派单板计算机而被安全公司识别，UNC2891 的目的是连接银行的 ATM 机网络从而可以控制 ATM 机并直接取出现金。

网络安全公司 Group-IB 在调查某银行网络上的可疑活动时发现了此次入侵，所幸由于发现的比较及时因此黑客并未能成功，不过这种物理 + 远程访问的攻击案例也属实罕见。

黑客的攻击思路：

通常情况下银行内部网络与公共网络都是隔离的，而 ATM 机网络则不会直接连接公网避免被攻击，为此 UNC2891 尝试通过未知方式将附带联网模块的树莓派单板计算机植入到银行内部系统。

目前猜测是 UNC2891 可能是通过买通银行内鬼的形式委托内鬼将树莓派安装到银行内部网络中 (其实也就是接入银行内部网络)，当成功安装后，4G 模块可以直接连接公共互联网，黑客再通过连接树莓派来接入到银行内部网络。

但树莓派本身也只是跳板之一，安全公司调查后发现 UNC2891 使用树莓派进入银行内部网络后进行横向移动，在其他系统里植入恶意软件，黑客最终通过 4G 树莓派与后门程序建立基于蜂窝网络的 C2 通道。

这个 C2 通道 (C2 指的是命令和控制) 能够让黑客持续获得银行内部网络的访问权限，同时又可以绕过银行网络的防火墙，因为 4G 树莓派并不在银行防火墙的覆盖范围内。

在攻击的后续阶段黑客已经横向移动到网络监控服务器，这个服务器与银行的数据中心有更加广泛的连接，如果没有被阻止的话，黑客可能可以实现更多不同类型的攻击。

安全公司怎么发现异常的：

显然安全公司不可能在一开始就想到银行内部竟然被安装了树莓派，Group-IB 在调查时发现银行网络中的网络监控服务器每隔 600 秒会在 929 端口上向树莓派发送信标信号，这表明这台树莓派充当枢轴主机。

最初安全公司也没想到黑客还能通过物理方式渗透到银行内部，而发现网络上的可疑活动后就可以进行针对性的排查了，最终解开了一起通过物理 + 远程访问的攻击行为。

值得注意的是 UNC2891 最终目标应该是部署 Caketap rookit 后门程序，这个后门程序是专门为甲骨文 Oracle Solaris 系统创建的，该系统被金融机构广泛使用。

Caketap rookit 能够操纵支付硬件安全模块响应，特别是银行卡类的响应消息，这可以授权银行系统批准可疑的支付，比如通过 ATM 机直接取款。