Furto di contanti tramite ATM con Raspberry Pi

Gli esperti di Group-IB hanno scoperto una nuova tecnica sfruttata dal gruppo UNC2891 (noto anche come LightBasin) per prelevare denaro dagli ATM. I cybercriminali hanno usato un Raspberry Pi con modem 4G per il collegamento allo switch della rete della banca e l’accesso remoto. Fortunatamente il tentativo di furto è fallito.

Raspberry PI 4G e rootkit

Gli esperti di Group-IB ha scoperto l’intrusione dopo aver notato attività sospette sulla rete della banca. Il gruppo LightBasin è noto almeno dal 2022, quando Mandiant ha individuato Caketap, un rootkit Unix usato per colpire i sistemi Oracle Solaris delle istituzioni finanziarie. Il malware può modificare le risposte del Payment Hardware Security Module, in particolare i messaggi di verifica delle carte consentendo l’autorizzazione di transazioni fraudolente.

Nel caso esaminato da Group-IB, i cybercriminali sono riusciti a collegare un Raspberry Pi con modem 4G allo switch della banca, probabilmente con la complicità di un dipendente. Il modem 4G ha permesso l’accesso remoto aggirando la protezione del firewall. Sul Raspberry Pi era installata la backdoor TinyShell che consentiva il collegamento al server C2 (command and control).

I cybercriminali hanno successivamente ottenuto l’accesso al Network Monitoring Server e quindi al Mail Server. L’accesso a quest’ultimo, connesso permanentemente ad Internet, serviva per mantenere la persistenza nella rete interna nel caso in cui il Raspberry Pi potesse essere individuato e rimosso.

Per cercare di nascondere le tracce dell’intrusione sono stati usati processi che sembravano legittimi. Gli esperti di Group-IB ha però rilevato il traffico di rete sospetto verso il Raspberry Pi. Il tentativo di rubare il denaro dagli ATM è stato sventato in tempo, prima dell’installazione del rootkit Caketap.