Forscher haben einen ungewöhnlichen und hochentwickelten Angriff auf eine nicht genannte Bank untersucht: Unbekannte Hacker platzierten einen Raspberry Pi mit 4G-Modem direkt im internen Netzwerk der Bank. Ziel war es, Zugriff auf das ATM-Switching-System zu erlangen – die Schaltstelle, welche Bargeldtransaktionen steuert.
Ziel: Kontrolle über das ATM-Switching-System
Der Mini-Computer wurde an denselben Switch angeschlossen, der auch die Geldautomaten der Bank versorgt. Damit hatten die Angreifer eine perfekte Ausgangsposition, um das Hardware Security Module (HSM) ins Visier zu nehmen. Dieses Modul ist eigentlich dafür da, hochsensible Daten wie PINs oder digitale Signaturen zu schützen. Ein erfolgreicher Zugriff hätte bedeutet: Manipulation von Transaktionen und unautorisierte Bargeldabhebungen.
UNC2891 – Profis mit langer Historie
Die Angreifergruppe ist unter dem Namen UNC2891 bekannt und seit mindestens 2017 aktiv. Sie ist spezialisiert auf gezielte Angriffe gegen Banken, insbesondere über Linux-, Unix- und Solaris-Systeme.
Bereits 2022 hatte Mandiant (Google) die Gruppe beschrieben und deren CakeTap-Rootkit aufgedeckt. Dieses manipulierte Transaktionen im ATM-Netzwerk, um gefälschte Abhebungen mit kompromittierten Karten zu ermöglichen. Daneben sind auch weitere Eigenentwicklungen wie SlapStick und TinyShell bekannt – alle mit Fokus auf unsichtbaren, langfristigen Zugriff.
So funktionierte der Angriff
- Physische Implantation
Ein Raspberry Pi mit 4G-Modem wurde unbemerkt im Netzwerk installiert. Durch die mobile Verbindung konnten die Hacker jegliche Perimeter-Sicherheit (Firewalls, IDS, VPNs) umgehen.
- Persistenz durch Mailserver
Parallel kompromittierten sie einen internen Mailserver. Dieser hatte konstant Internetzugang und diente als alternative Backdoor, falls das Raspberry-Gerät entfernt würde.
- Monitoring-Server als Zwischenstation
Um die Spuren weiter zu verschleiern, nutzten die Angreifer den Netzwerk-Monitoring-Server als Relay zwischen Raspberry Pi und Mailserver. Da dieser Server Zugriff auf fast alle Systeme im Datacenter hatte, war er ein ideales Sprungbrett.
- Versteckspiel: Prozess-Tarnung & Bind Mounts
– Die Malware tarnte sich als „lightdm“ – ein legitimer Linux Display Manager.
– Mit realistisch wirkenden Kommandozeilenargumenten wirkte der Prozess glaubwürdig.
– Zusätzlich nutzten die Angreifer eine bisher noch nie dokumentierte Technik im Cybercrime-Umfeld: Linux Bind Mounts. Damit konnten sie Prozesse im Dateisystem unsichtbar machen – ähnlich einem Rootkit.
– Die Technik wurde mittlerweile in die MITRE ATT&CK Matrix aufgenommen.
- Aufdeckung durch Anomalien
– Während der Analyse fiel den Forschern ein Beaconing alle 10 Minuten vom Monitoring-Server auf.
– Forensische Tools konnten die Prozesse zunächst nicht zuordnen. Erst durch Memory-Dumps wurde sichtbar, dass „lightdm“ an ungewöhnlicher Stelle lief – und in Wahrheit eine getarnte Backdoor war.
Angriff gestoppt, bevor es teuer wurde
Die Attacke wurde rechtzeitig erkannt und neutralisiert – bevor die Hacker das ATM-Switching-System vollständig kompromittieren und CakeTap installieren konnten. Dennoch zeigt der Vorfall eindrücklich, wie physische Schwachstellen in Kombination mit unkonventionellen Techniken selbst hochgesicherte Banken gefährden können.
Wie resilient ist Ihr Unternehmen wirklich?
Der Angriff zeigt: Firewalls und Antivirenlösungen allein genügen nicht. Auch physische Zugänge, versteckte Hintertüren und neuartige Angriffstechniken können zum Risiko werden.
Mit unserem Security Health Check erhalten Sie eine klare Standortbestimmung:
- Ganzheitliche Analyse Ihrer Sicherheitslage
- Erkennung von Schwachstellen – digital und physisch
- Konkrete, priorisierte Massnahmen für mehr Schutz
👉 Lassen Sie uns Ihre Sicherheit überprüfen, bevor es ein Angreifer tut.
Quelle: www.arstechnica.com, Bild durch KI erstellt.