ハッカー、ATM強盗未遂で銀行ネットワークに4G搭載Raspberry Piを設置

UNC2891ハッキンググループ（別名LightBasin）は、4G対応のRaspberry Piを銀行のネットワークに隠して設置し、新たに発見された攻撃でセキュリティ防御を回避しました。

このシングルボードコンピュータはATMネットワークスイッチに物理的に接続され、銀行の内部ネットワークへの見えないチャネルを作り出し、攻撃者が横移動してバックドアを展開できるようにしました。

ネットワーク上の不審な活動を調査中に侵入を発見したGroup-IBによると、この攻撃の目的はATM認証を偽装し、不正な現金引き出しを行うことでした。

LightBasinはこの試みに失敗しましたが、この事件は高度なハイブリッド型（物理＋リモートアクセス）攻撃の希少な例であり、複数のアンチフォレンジック技術を用いて高いステルス性を維持していました。

このグループは銀行システムへの攻撃で悪名高く、Mandiantは2022年のレポートで、金融業界で使用されるOracle Solarisシステム上で動作するUnixカーネルルートキット「Caketap」を紹介しています。

Caketapは、支払い用ハードウェアセキュリティモジュール（HSM）の応答、特にカード認証メッセージを操作し、銀行システムが通常はブロックする不正取引を認証します。

2016年から活動しているLightBasinは、TinyShellオープンソースバックドアを利用してネットワーク間のトラフィックを移動させ、特定のモバイルステーションを経由させることで、長年にわたり通信システムへの攻撃にも成功しています。

Raspberry $i

今回のケースでは、LightBasinは自ら、または協力者となった不正な従業員を買収することで銀行支店への物理的なアクセスを得て、ATMと同じネットワークスイッチに4Gモデム付きRaspberry Piを設置しました。

このデバイスの外部インターネット接続機能により、攻撃者は境界ファイアウォールを回避しつつ、銀行内部ネットワークへの持続的なリモートアクセスを維持できました。

Raspberry PiにはTinyShellバックドアが搭載されており、攻撃者はモバイルデータ経由でアウトバウンドのコマンド＆コントロール（C2）チャネルを確立するためにこれを利用しました。

攻撃の次の段階では、脅威アクターは銀行のデータセンターと広範な接続を持つネットワーク監視サーバーへ横移動しました。

そこから攻撃者は、インターネットに直接接続されているメールサーバーにもピボットし、Raspberry Piが発見・撤去された後も持続性を確保しました。

横移動に使用されたバックドアは、Linuxシステムで見られる正規のLightDMディスプレイマネージャを装うために「lightdm」と名付けられ、無害に見せかけられていました。

攻撃の高いステルス性に寄与したもう一つの要素は、LightBasinがtmpfsやext4などの代替ファイルシステムを悪意あるプロセスの「/proc/[pid]」パス上にマウントし、関連するメタデータをフォレンジックツールから実質的に隠蔽したことです。

Group-IBの調査によると、銀行ネットワーク内のネットワーク監視サーバーは600秒ごとにポート929でRaspberry Piにビーコン信号を送っており、このデバイスがピボットホストとして機能していたことが示唆されます。

研究者によれば、攻撃者の最終的な目的はCaketapルートキットを展開することでしたが、その計画は実行前に阻止されました。