近年来,随着金融科技的发展,自动取款机(ATM)作为银行重要的服务终端,成为黑客组织重点攻击的目标。恶意攻击不仅威胁用户资金安全,更可能导致金融机构声誉受损及巨额经济损失。著名的网络威胁组织UNC2891于近期被披露利用一种创新的攻击方式,通过结合物理设备和恶意软件手段,成功渗透ATM网络,意图实施大规模的金融欺诈行为。UNC2891选择使用带有4G模块的树莓派设备,通过无线网络实现远程操控,绕过银行常规的网络边界防护,实现对ATM切换服务器的持续控制。攻击者凭借物理访问权限,将树莓派直接连入与ATM相同的网络交换机中,使其成为银行内部网络的一部分。如此以来,传统防火墙和入侵检测系统难以察觉该设备的存在。
树莓派带内置4G调制解调器,连接运营商的移动数据网络,使攻击者即便不在银行物理场所,也能随时远程访问目标网络,大大增强了攻击的隐蔽性和连续性。技术专家Nam Le Phuong指出,攻击者利用一个名为TINYSHELL的远程后门程序,通过动态域名系统(Dynamic DNS)建立稳定的命令与控制(C2)通道。这种设计不仅支持下发多种指令,还允许隐秘传输偷取的数据,从而确保了攻击活动的长线操作潜力。和许多高级持续性威胁(APT)组织一样,UNC2891展示了对Linux及Unix系统深厚的理解。此次攻击关键步骤之一是安装名为CAKETAP的内核模块根工具,这一复杂恶意软件通过修改操作系统内核来隐藏其网络连接、恶意进程和潜伏文件。更为狡猾的是,CAKETAP能够截获并伪造来自硬件安全模块(HSM)的芯片卡和PIN验证信息,使得虚假交易看似合法无异,极大地增加了金融欺诈成功的可能性。
除了树莓派设备,安全研究机构Group-IB还发现名为lightdm的后门程序部署在银行的网络监控服务器上,这些后门可实现与树莓派间的双向通信,并与内部邮件服务器保持联系,形成一个多节点的隐蔽攻击网络。此攻击还利用了绑定挂载(bind mounts)技术来隐藏后门进程,进一步增强了其反检测能力。UNC2891与另一个臭名昭著的威胁组织UNC1945(又称LightBasin)存在战术上的共通点,后者同样专注于金融行业和专业咨询服务机构的入侵,且擅长通过供应链薄弱环节渗透目标。此类攻击事件警示金融机构,网络安全防御正面临越来越复杂且物理与数字手段结合的威胁。尽管此次攻击方案最终在造成实际资金损失前被发现并中断,但攻击者依然通过邮件服务器上的后门保持内部访问权限,显示出他们对目标环境的深度渗透和持续作战意图。为了抵御类似威胁,银行业必须加强物理安全管理,严格控制对核心网络设备的访问权限,同时强化对网络边界外设备的检测能力。
采用基于行为的异常检测系统监控UDP及DNS流量中的异常动态域名请求,有助于尽早识别通过动态域名系统发起的C2通信。此外,定期审计内核模块和进程列表,使用跨平台渗透测试和红蓝对抗演练,提升整体网络安全韧性。银行内部协调网络安全与物理安保团队的合作也至关重要,通过联合情报共享快速响应潜在攻击。技术上,推动硬件安全模块(HSM)固化与网络设备访问权限管理结合,防止中间人攻击和报文伪造,是保障ATM系统安全的核心措施。未来,随着物联网设备的普及和5G通信技术的广泛应用,攻击者利用低成本、隐蔽的新型物理接入设备发起高效侵入的风险将持续增加。金融机构和安全厂商应加强对新兴威胁的研究,提升自动化威胁检测和响应能力,确保资金流和交易安全得到全面保护。
总结来看,UNC2891利用4G树莓派设备侵入ATM网络及CAKETAP内核根工具的结合,标志着金融网络攻击技术进入新阶段。只有通过多层次、多维度的安全策略,坚持威胁情报驱动和持续监控,才能有效防止类似复杂攻击对金融系统的威胁,保障用户资产和银行声誉的安全稳定。
