安全公司Group-IB近日披露，代号UNC2891的黑客组织（LightBasin）尝试通过物理方式将植有联网模块的树莓派单板计算机植入银行内部网络。其最终目的是控制ATM机并直接取出现金。黑客通过内部人员的协助将树莓派接入，再利用其4G模块绕过防火墙，建立命令与控制（C2）通道，实现对银行内部网络的持续访问。虽然此次攻击因及时发现而未遂，但其结合物理渗透与远程访问的手段，以及意图部署Caketap rootkit操纵支付硬件安全模块的复杂攻击链，为银行业网络安全敲响了警钟。

🌲 **物理与远程结合的罕见攻击手法**：黑客组织UNC2891（LightBasin）通过未知方式（推测为收买内鬼）将预装联网模块的树莓派物理植入银行内部网络，而非传统的网络入侵方式。树莓派利用其4G模块直接连接公共互联网，成功绕过了银行防火墙的覆盖范围，建立了一个不被察觉的命令与控制（C2）通道，实现了对银行内部网络的持续访问和横向移动。

💡 **利用树莓派作为跳板与枢轴主机**：植入的树莓派不仅是进入银行内部网络的跳板，更被用作枢轴主机。安全公司发现网络监控服务器每隔一段时间就会向树莓派的特定端口发送信标信号，这清晰地表明了树莓派在整个攻击链中的关键连接和控制作用，是黑客进行后续操作的核心节点。

💰 **最终目标：控制ATM机并盗取现金**：UNC2891的最终目的是通过控制银行的ATM机网络来直接提取现金。他们计划在银行内部网络中植入名为Caketap的rootkit后门程序，该程序专门针对金融机构广泛使用的Oracle Solaris系统。Caketap能够操纵支付硬件安全模块的响应，从而伪造授权，使得可疑的支付交易（如ATM机取款）能够被银行系统批准。

🔍 **安全公司如何发现异常**：安全公司Group-IB在调查银行网络中的可疑活动时，发现了网络监控服务器与树莓派之间的异常通信。尽管最初并未预料到物理渗透的存在，但对网络上出现的异常信标信号进行排查，最终揭露了这起结合了物理植入和远程控制的复杂网络攻击事件。

代号 UNC2891 的黑客组织 (也被称为 LightBasin) 日前尝试在银行内部网络中安装树莓派单板计算机而被安全公司识别，UNC2891 的目的是连接银行的 ATM 机网络从而可以控制 ATM 机并直接取出现金。

网络安全公司 Group-IB 在调查某银行网络上的可疑活动时发现了此次入侵，所幸由于发现的比较及时因此黑客并未能成功，不过这种物理 + 远程访问的攻击案例也属实罕见。

黑客的攻击思路：

通常情况下银行内部网络与公共网络都是隔离的，而 ATM 机网络则不会直接连接公网避免被攻击，为此 UNC2891 尝试通过未知方式将附带联网模块的树莓派单板计算机植入到银行内部系统。

目前猜测是 UNC2891 可能是通过买通银行内鬼的形式委托内鬼将树莓派安装到银行内部网络中 (其实也就是接入银行内部网络)，当成功安装后，4G 模块可以直接连接公共互联网，黑客再通过连接树莓派来接入到银行内部网络。

但树莓派本身也只是跳板之一，安全公司调查后发现 UNC2891 使用树莓派进入银行内部网络后进行横向移动，在其他系统里植入恶意软件，黑客最终通过 4G 树莓派与后门程序建立基于蜂窝网络的 C2 通道。

这个 C2 通道 (C2 指的是命令和控制) 能够让黑客持续获得银行内部网络的访问权限，同时又可以绕过银行网络的防火墙，因为 4G 树莓派并不在银行防火墙的覆盖范围内。

在攻击的后续阶段黑客已经横向移动到网络监控服务器，这个服务器与银行的数据中心有更加广泛的连接，如果没有被阻止的话，黑客可能可以实现更多不同类型的攻击。

安全公司怎么发现异常的：

显然安全公司不可能在一开始就想到银行内部竟然被安装了树莓派，Group-IB 在调查时发现银行网络中的网络监控服务器每隔 600 秒会在 929 端口上向树莓派发送信标信号，这表明这台树莓派充当枢轴主机。

最初安全公司也没想到黑客还能通过物理方式渗透到银行内部，而发现网络上的可疑活动后就可以进行针对性的排查了，最终解开了一起通过物理 + 远程访问的攻击行为。

值得注意的是 UNC2891 最终目标应该是部署 Caketap rookit 后门程序，这个后门程序是专门为甲骨文 Oracle Solaris 系统创建的，该系统被金融机构广泛使用。

Caketap rookit 能够操纵支付硬件安全模块响应，特别是银行卡类的响应消息，这可以授权银行系统批准可疑的支付，比如通过 ATM 机直接取款。

查看评论