Raspberry Pi als Einfallstor: Hackerangriff auf Banknetzwerk

LONDON (IT BOLTWISE) – In einem bemerkenswerten Fall von Cyberkriminalität hat die Hackergruppe LightBasin, auch bekannt als UNC2891, versucht, über ein 4G-fähiges Raspberry Pi in das Netzwerk einer Bank einzudringen. Dieser Angriff, der sowohl physische als auch digitale Elemente kombiniert, zeigt die zunehmende Raffinesse und Hartnäckigkeit von Cyberkriminellen.

Die Hackergruppe LightBasin, die seit 2016 aktiv ist, hat sich auf Angriffe auf Bankensysteme spezialisiert. In ihrem jüngsten Versuch nutzten sie ein Raspberry Pi, das mit einem 4G-Modem ausgestattet war, um sich Zugang zu einem Banknetzwerk zu verschaffen. Diese Methode erlaubte es ihnen, die Sicherheitsvorkehrungen der Bank zu umgehen und sich lateral im Netzwerk zu bewegen, um Backdoors zu installieren.

Der Angriff wurde von Group-IB entdeckt, als sie verdächtige Aktivitäten im Netzwerk untersuchten. Ziel der Hacker war es, die Autorisierung von Geldautomaten zu fälschen und so betrügerische Bargeldabhebungen durchzuführen. Obwohl dieser Plan scheiterte, zeigt der Vorfall die Komplexität moderner Cyberangriffe, die sowohl physische als auch digitale Komponenten kombinieren.

LightBasin ist bekannt für seine Angriffe auf Bankensysteme, wie ein Bericht von Mandiant aus dem Jahr 2022 zeigt. In diesem Bericht wurde das Unix-Kernel-Rootkit ‘Caketap’ vorgestellt, das speziell für Oracle Solaris-Systeme entwickelt wurde, die im Finanzsektor eingesetzt werden. Caketap manipuliert die Antworten von Payment Hardware Security Modules (HSM), um betrügerische Transaktionen zu autorisieren, die ansonsten von den Bankensystemen blockiert würden.

In ihrem jüngsten Angriff verschafften sich die Hacker entweder selbst physischen Zugang zu einer Bankfiliale oder bestachen einen Mitarbeiter, um das Raspberry Pi mit dem ATM-Netzwerkswitch zu verbinden. Das Gerät ermöglichte es den Angreifern, eine persistente Remote-Verbindung zum internen Netzwerk der Bank aufrechtzuerhalten und die Perimeter-Firewalls zu umgehen.

Das Raspberry Pi war mit dem TinyShell-Backdoor ausgestattet, das für die Einrichtung eines ausgehenden Command-and-Control (C2) Kanals über mobile Daten genutzt wurde. In den folgenden Phasen des Angriffs bewegten sich die Angreifer lateral zum Netzwerküberwachungsserver, der umfangreiche Verbindungen zum Rechenzentrum der Bank hatte.

Von dort aus gelang es den Angreifern, auch auf den Mailserver zuzugreifen, der direkten Internetzugang hatte und somit auch dann noch Zugriff ermöglichte, als das Raspberry Pi entdeckt und entfernt wurde. Die für die laterale Bewegung verwendeten Backdoors wurden als ‘lightdm’ bezeichnet, um den legitimen LightDM-Display-Manager auf Linux-Systemen zu imitieren und so unauffällig zu erscheinen.

Ein weiterer Faktor, der zur hohen Unauffälligkeit des Angriffs beitrug, war die Montage alternativer Dateisysteme wie tmpfs und ext4 über die ‘/proc/[pid]’-Pfade der bösartigen Prozesse, wodurch die zugehörigen Metadaten vor forensischen Werkzeugen verborgen wurden.

Basierend auf der Untersuchung von Group-IB wurde festgestellt, dass der Netzwerküberwachungsserver im Banknetzwerk alle 600 Sekunden an das Raspberry Pi auf Port 929 sendete, was darauf hindeutet, dass das Gerät als Pivot-Host diente. Die Forscher sagen, dass das ultimative Ziel der Angreifer darin bestand, das Caketap-Rootkit zu installieren, dieser Plan jedoch vereitelt wurde, bevor er umgesetzt werden konnte.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!