Cybersecurity-Experten von Group-IB haben eine außergewöhnliche Hybridattacke der berüchtigten Hackergruppe UNC2891 (LightBasin) aufgedeckt. Die Angreifer setzten einen Raspberry Pi Einplatinencomputer mit 4G-Modul ein, um einen versteckten Zugangspunkt in das interne Banknetzwerk zu etablieren und dabei sämtliche Perimeter-Sicherheitssysteme zu umgehen.
Innovative Angriffsmethodik mit Raspberry Pi 4G-Modul
Die Cyberkriminellen verschafften sich zunächst physischen Zugang zu einer Bankfiliale, vermutlich durch direkte Infiltration oder mithilfe eines internen Komplizen aus der Belegschaft. Der entscheidende Schritt bestand darin, den 4G-fähigen Raspberry Pi an denselben Netzwerk-Switch anzuschließen, der auch den Geldautomaten versorgte.
Diese strategische Platzierung ermöglichte die Etablierung eines permanenten Kommunikationskanals zur internen Bankinfrastruktur, der alle Firewall-Systeme umging. Auf dem Einplatinencomputer wurde der TinyShell-Backdoor installiert, welcher Remote-Kontrolle über das Mobilfunknetz gewährleistete und kontinuierliche Lateral Movement-Operationen zwischen verschiedenen Banksystemen ermöglichte.
Fortgeschrittene Verschleierungstechniken und Anti-Forensik
Die LightBasin-Gruppe demonstrierte außergewöhnliche technische Raffinesse durch den Einsatz mehrerer hochentwickelter Tarnmethoden. Die verwendeten Backdoors erhielten die Bezeichnung lightdm, um den legitimen LightDM-Manager in Linux-Systemen zu imitieren und Verdacht zu vermeiden.
Besonders bemerkenswert ist die Anwendung alternativer Dateisystem-Mounting-Techniken (tmpfs und ext4) über den /proc/[pid]-Pfaden der Malware-Prozesse. Diese Methodik verschleierte erfolgreich Metadaten vor digitalen Forensik-Tools und erschwerte die Entdeckung sowie Analyse der schädlichen Aktivitäten erheblich.
LightBasin-Hintergrund und Caketap-Rootkit-Entwicklung
Die Hackerorganisation LightBasin operiert seit 2016 und spezialisiert sich auf Angriffe gegen Finanzinstitutionen. Im Jahr 2022 identifizierten Mandiant-Forscher das von der Gruppe entwickelte Unix-Rootkit Caketap, das speziell für Oracle Solaris-Systeme in Bankenumgebungen konzipiert wurde.
Caketaps Hauptfunktion besteht im Abfangen kritischer Bankkarteninformationen und PIN-Codes von kompromittierten Geldautomaten-Servern. Das Rootkit zielt auf Nachrichten ab, die für Payment Hardware Security Module (HSM) bestimmt sind – spezialisierte Hardware-Geräte, die für die Generierung und Verwaltung kryptographischer Schlüssel verantwortlich sind.
Lateral Movement und Netzwerkinfiltration
Nach der erfolgreichen Etablierung über den Raspberry Pi bewegten sich die Angreifer systematisch durch die Bankinfrastruktur. Als erstes Zwischenziel wählten sie einen Netzwerk-Monitoring-Server mit erweiterten Verbindungsmöglichkeiten zum Banking-Rechenzentrum.
Anschließend erlangten die Cyberkriminellen Zugriff auf einen E-Mail-Server mit direkter Internetverbindung, wodurch sie einen alternativen Kommunikationskanal sicherten. Diese redundante Infrastruktur ermöglichte es der Gruppe, ihre Präsenz im Netzwerk auch nach der Entdeckung und Entfernung des ursprünglichen Raspberry Pi-Zugangspunkts aufrechtzuerhalten.
Angriffsziele und präventive Maßnahmen
Das ultimative Ziel der Cyberattacke war die Implementierung des Caketap-Rootkits zur Geldautomaten-Autorisierungs-Manipulation und die Durchführung unbefugter Bargeldabhebungen. Die Pläne der Angreifer wurden jedoch durch die rechtzeitige Erkennung verdächtiger Aktivitäten durch IT-Sicherheitsspezialisten vereitelt.
Dieser Vorfall repräsentiert ein seltenes Beispiel einer fortgeschrittenen Hybridattacke, die physische Infiltration mit Remote-Access-Techniken kombiniert. Der Einsatz von Raspberry Pi-Hardware verdeutlicht die wachsende Kreativität von Cyberkriminellen und unterstreicht die Notwendigkeit umfassender Sicherheitsansätze für Bankeninfrastrukturen, die sowohl technische als auch physische Schutzmaßnahmen integrieren müssen.
