Kriminelle konnten Raspberry Pi im Netzwerk einer Bank platzieren
Angriffe auf die IT-Infrastruktur einer Bank sind nicht gerade trivial - insbesondere, wenn sie von außen kommen. In einem aktuellen Fall haben die Täter die Sicherheitssysteme allerdings umgangen, indem sie einen Raspberry Pi ans interne Netzwerk steckten.
Die Täter, die von Sicherheitsforschern unter dem Namen UNC2891 geführt werden, gehören zu einer finanziell motivierten Hackergruppe, die seit mindestens 2017 aktiv und auf Systeme mit Linux-, Unix- und Solaris-Basis spezialisiert ist. Die von Group-IB nun analysierte Angriffsmethode gilt als bislang einmalig: Durch die physische Platzierung des Raspberry Pi an einem Netzwerk-Switch der Bank konnten die Hacker sämtliche Perimeterschutzmaßnahmen umgehen.
Das Mini-Computergerät ermöglichte den Angreifern via Mobilfunk eine unauffällige Fernverbindung. Parallel dazu setzten sie neuartige Schadsoftware ein, die sich mithilfe sogenannter Linux Bind Mounts effektiv vor gängigen forensischen Analysewerkzeugen verbarg. Diese Technik, eigentlich für legitime Systemadministration gedacht, wurde laut Group-IB erstmals von Kriminellen zweckentfremdet und wirkte in ihrer Tarnung ähnlich wie ein Rootkit.
Besonders perfide war der Einsatz des internen Netzwerküberwachungsservers als Vermittler: Dieser kommunizierte regelmäßig mit dem Raspberry Pi und einem kompromittierten Mailserver der Bank, der aufgrund seiner dauerhaften Internetverbindung als Kommunikationsdrehscheibe diente. Auffällige Datenströme und verdächtige Prozesse, etwa ein als Display Manager getarnter Schadprozess, gaben schließlich den entscheidenden Hinweis für die Entdeckung.
Obwohl es den Angreifern nicht gelang, ihre finale Schadsoftware - das aus früheren Angriffen bekannte Rootkit CakeTap - auf dem ATM-Server zu installieren, zeigt der Vorfall, wie professionell UNC2891 bei der Umgehung moderner Sicherheitssysteme vorgeht. Wie genau die Angreifer den Raspberry Pi installieren konnten, wurde nicht öffentlich gemacht.
Siehe auch:
Ziel waren Geldautomaten
Der Mini-Rechner, mit dem ein bislang unbekanntes Finanzinstitut attackiert wurde, war mit einem 4G-Modem ausgestattet. Das berichtete das Sicherheitsunternehmen Group-IB am Mittwoch. Auf diesem Weg verfügten die Angreifer über einen direkten Zugang zum internen Netz, ohne dass Firewalls oder andere Schutzsysteme im Weg standen.Die Täter, die von Sicherheitsforschern unter dem Namen UNC2891 geführt werden, gehören zu einer finanziell motivierten Hackergruppe, die seit mindestens 2017 aktiv und auf Systeme mit Linux-, Unix- und Solaris-Basis spezialisiert ist. Die von Group-IB nun analysierte Angriffsmethode gilt als bislang einmalig: Durch die physische Platzierung des Raspberry Pi an einem Netzwerk-Switch der Bank konnten die Hacker sämtliche Perimeterschutzmaßnahmen umgehen.
Das Mini-Computergerät ermöglichte den Angreifern via Mobilfunk eine unauffällige Fernverbindung. Parallel dazu setzten sie neuartige Schadsoftware ein, die sich mithilfe sogenannter Linux Bind Mounts effektiv vor gängigen forensischen Analysewerkzeugen verbarg. Diese Technik, eigentlich für legitime Systemadministration gedacht, wurde laut Group-IB erstmals von Kriminellen zweckentfremdet und wirkte in ihrer Tarnung ähnlich wie ein Rootkit.
Perfide Organisation
Ziel des Angriffs war offenbar der ATM-Switching-Server der Bank, also die zentrale Steuerungseinheit für Geldautomaten-Transaktionen. Die Angreifer wollten darüber Zugriff auf das Hardware-Security-Module (HSM) erlangen - ein hochsicheres Gerät zur Verwaltung kryptografischer Schlüssel und digitaler Signaturen.Besonders perfide war der Einsatz des internen Netzwerküberwachungsservers als Vermittler: Dieser kommunizierte regelmäßig mit dem Raspberry Pi und einem kompromittierten Mailserver der Bank, der aufgrund seiner dauerhaften Internetverbindung als Kommunikationsdrehscheibe diente. Auffällige Datenströme und verdächtige Prozesse, etwa ein als Display Manager getarnter Schadprozess, gaben schließlich den entscheidenden Hinweis für die Entdeckung.
Obwohl es den Angreifern nicht gelang, ihre finale Schadsoftware - das aus früheren Angriffen bekannte Rootkit CakeTap - auf dem ATM-Server zu installieren, zeigt der Vorfall, wie professionell UNC2891 bei der Umgehung moderner Sicherheitssysteme vorgeht. Wie genau die Angreifer den Raspberry Pi installieren konnten, wurde nicht öffentlich gemacht.
Zusammenfassung
- Kriminelle platzierten Raspberry Pi mit 4G-Modem im Banknetzwerk
- Angreifer umgingen Firewalls durch physischen Zugang zum internen Netz
- Hackergruppe UNC2891 setzte neuartige Linux-Schadsoftware mit Tarnfunktion ein
- Ziel war der ATM-Switching-Server und das Hardware Security Module der Bank
- Interne Überwachungsserver und kompromittierter Mailserver dienten als Vermittler
- Trotz ausgeklügelter Angriffsmethoden scheiterte die Installation des Rootkits
- Wie der Raspberry Pi ins Banknetzwerk gelangte, wurde nicht veröffentlicht
Siehe auch:
Thema:
Raspberry Pi 5 Mod. B im Preisvergleich
Berrybase.de 
Astradis Elektronik 
Galaxus 
Pollin Electronic 
E-tec.at Videos zum Thema
-
Tutorial: Wie man den Raspberry Pi mit der Cloud synchroniert (Teil 1)
-
Tutorial: Wie man den Raspberry Pi mit der Cloud synchroniert (Teil 2)
-
Raspberry Pi 3: Neues Model B+ verbessert Prozessor und Netzwerk
-
Raspberry Pi: SSH lässt sich ganz einfach wieder einschalten
-
Raspberry Pi: So liefert der kleine Rechner mehr Strom per USB
Interessante Links
Beiträge aus dem Forum
-
Nextcloud-Server auf einem Raspberry Pi betreiben
d-hubs -
neues Raspberry Pi OS - basierend auf Debian 13 (Trixie)
d-hubs -
Neuer SBC: das Raspberry Pi Compute Module 5 wurde veröffentlicht
d-hubs -
digitaler Bilderrahmen mit Raspberry Pi
DanielDuesentrieb -
Raspberry Pi 3B SSH-Sitzung "funktioniert" nicht
RalphS
Beliebt im Preisvergleich
- USB-Kabel:
Neue Nachrichten
- Wallpaper Engine: "Anime Girl"-Hintergründe gefährden Steam-Gamer
- iPhone Air 2: Apple behebt die zwei größten Mankos des Vorgängers
- 24 Mrd. Datensätze offen im Netz: Riesiges Passwort-Archiv entdeckt
- Top-Tarif im O2-Netz: Jetzt 25 GB 5G dauerhaft für nur 4,99 Euro
- Microsoft Edge erlaubt bald den Login mit einem Google-Konto
- Tim Cook warnt: Preise für Apple-Produkte werden bald deutlich steigen
- Minus 15 Prozent: Speicherkrise trifft die Smartphone-Hersteller hart
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen