据网络安全公司Group-IB披露,攻击组织UNC2891(又称LightBasin)近期通过在银行内部网络布置带4G模块的Raspberry Pi单板计算机,试图突破ATM系统防线。该设备被秘密安装在一处ATM网络交换机上,为黑客团伙开辟了隐蔽通道,可访问银行内网并部署后门程序,实现远程操控与权限提升。
LightBasin的此次目标在于伪造ATM授权,实施非法取现,但最终未能得手。调查发现,攻击者通过物理入侵或内鬼协助完成设备植入,利用Raspberry Pi的4G通讯功能,绕过外围防火墙,并借助TinyShell开源后门维持与外部指挥中心的联络。行动中,黑客还通过其他后门隐匿在关键服务器之间横向移动,伪装成正常系统进程以避免被监测。
报道指出,LightBasin自2016年以来活跃于金融与电信行业攻击,曾开发针对Sun Solaris系统的Unix rootkit“Caketap”,以及多次利用TinyShell等工具攻破通信系统。此次案件展现了物理与远程结合的攻击新范式,为银行网络安全敲响警钟。