Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Cybernews
  3. Artykuł
Powrót

Raspberry Pi z modemem 4G wpięte do sieci banku

31 lipiec 2025

Raspberry Pi z modemem 4G wpięte do sieci banku
Leszczak Katarzyna

Leszczak Katarzyna

Grupa hakerska LightBasin podłożyła fizyczne urządzenie w placówce banku, próbując przejąć kontrolę nad systemami ATM i wdrożyć zaawansowane narzędzia do wyłudzania gotówki.

Studia Cyberbezpieczeństwo WSiZ

Urządzenie wpięte w sieć bankomatu

Specjaliści ds. cyberbezpieczeństwa z firmy Group-IB ujawnili szczegóły nieudanego, ale wyjątkowo wyrafinowanego ataku na infrastrukturę bankową, w którym wykorzystano niewielki komputer Raspberry Pi wyposażony w modem 4G. Zespół dochodzeniowy odkrył, że urządzenie zostało fizycznie podłączone do przełącznika sieciowego bankomatu, co umożliwiło napastnikom stworzenie kanału zdalnego dostępu do wewnętrznej sieci banku – z pominięciem klasycznych zapór sieciowych. Raspberry Pi działało jako host z backdoorem TinyShell i umożliwiało zdalne połączenie przez sieć komórkową. Hakerzy, korzystając z uzyskanego dostępu, przenieśli się bocznie na serwer monitorowania sieci z szerokimi uprawnieniami, a następnie przejęli kontrolę nad serwerem pocztowym banku, co umożliwiało im dalszą obecność nawet po fizycznym usunięciu urządzenia. Choć celem operacji miało być sfałszowanie transakcji w systemie bankomatów i dokonanie nieautoryzowanych wypłat gotówki, atak został wykryty i zneutralizowany, zanim doszło do strat finansowych.

Hybrydowy atak i maskowanie obecności

Za incydentem stoi grupa UNC2891, znana również jako LightBasin – jedna z najbardziej zaawansowanych grup cyberprzestępczych specjalizujących się w atakach na sektor bankowy i telekomunikacyjny. Wcześniejsze raporty Mandiant wskazywały, że grupa opracowała dedykowane narzędzia dla systemów Oracle Solaris, w tym kernelowego rootkita o nazwie Caketap, służącego do manipulowania autoryzacją transakcji przy użyciu HSM (Hardware Security Module). W omawianym przypadku LightBasin wykazał się nie tylko zdolnością do fizycznej infiltracji placówki, ale również zastosowaniem technik antykryminalistycznych. Użycie alternatywnych systemów plików (takich jak tmpfs i ext4 zamontowanych w /proc/[pid]) umożliwiło ukrycie śladów działania złośliwego oprogramowania przed narzędziami diagnostycznymi. Dodatkowo backdoory nazwano „lightdm”, naśladując legalny komponent systemów Linux.

Eksperci uznają ten incydent za klasyczny przykład ataku hybrydowego – łączącego elementy fizycznej infiltracji z zaawansowaną inżynierią sieciową i technikami utrzymania dostępu. Zarejestrowany ruch serwera monitorującego, wysyłającego dane co 600 sekund na port 929 Raspberry Pi, wskazuje, że urządzenie pełniło funkcję hosta pivotowego w dalszej fazie ataku.

Dobroczynnie NTHW

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności