近日,Group-IB 披露了一起银行网络攻击事件:知名黑客团伙 UNC2891(又称 LightBasin)通过在银行内部植入搭载4G模块的树莓派(Raspberry Pi)微型电脑,试图绕过多重安全防线实施 ATM 盗刷,最终因计划败露未能得逞。这起融合物理入侵与远程操控的 "混合式攻击",暴露出金融机构网络防护体系中潜藏的复合型风险。

据调查,黑客团伙通过自行潜入或收买银行内部员工的方式,将搭载 4G 调制解调器的树莓派物理连接至 ATM 网络交换机。这种单板式电脑体积仅手掌大小,能借助独立4G信号建立隐秘通道,使攻击者在绕过银行边界防火墙的同时,持续获取内部网络的远程访问权限。

安全研究员分析发现,这台树莓派被植入了名为 TinyShell 的开源后门程序,通过移动数据网络与外部控制服务器建立通信。借助这个 "桥头堡",黑客得以在银行内部网络横向移动:先渗透至具备数据中心广泛连接权限的网络监控服务器,再进一步攻占拥有直接互联网访问权的邮件服务器。这种 "跳板式" 渗透策略使其在树莓派被发现移除后,仍能通过邮件服务器维持持久控制。

为掩盖踪迹,黑客团队运用了多重反侦察手段。他们将恶意进程命名为 "lightdm",伪装成 Linux 系统中常见的显示管理器程序;更通过在/proc/[pid]路径挂载 tmpfs、ext4 等替代文件系统,刻意隐藏恶意进程的元数据,使常规 forensic 工具难以追踪。网络流量监测显示,银行内部的网络监控服务器曾每 600 秒向树莓派的 929 端口发送心跳信号,证实该设备承担着核心中转角色。

目前,Group-IB 已协助涉事银行清除了所有未被发现的后门程序,并修复了物理安防漏洞。

资讯及配图来源:bleepingcomputer

声明:本文来自看雪学苑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。