Hackers instalaram um Raspberry Pi 4G dentro de um caixa eletrônico de banco para obter acesso à rede
Recentemente, um grupo criminoso tentou uma intrusão incomum e sofisticada na infraestrutura de caixas eletrônicos de um banco, utilizando um Raspberry Pi com suporte a 4G. Um relatório do Group-IB revelou que o dispositivo foi instalado de forma discreta em um switch de rede utilizado pelo sistema de ATMs, posicionando-o dentro do ambiente interno do banco. O grupo responsável pela operação, UNC2891, explorou esse ponto de acesso físico para contornar completamente as defesas perimetrais digitais, demonstrando que a violação física ainda pode superar a proteção baseada em software.
Assista ao vídeo completo aqui:
Explorando o acesso físico para contornar defesas digitais
O Raspberry Pi serviu como um ponto de entrada secreto com capacidades de conectividade remota através de seu modem 4G, permitindo acesso persistente de comando e controle de fora da rede da instituição, sem acionar alarmes típicos de firewall ou proteção de endpoints.
“Um dos elementos mais incomuns deste caso foi o uso de acesso físico para instalar um dispositivo Raspberry Pi,” escreveu Nam Le Phuong, especialista em Forense Digital e Resposta a Incidentes do Group-IB. “Este dispositivo estava conectado diretamente ao mesmo switch de rede que o ATM, efetivamente colocando-o dentro da rede interna do banco.”
Usando dados móveis, os atacantes mantiveram uma presença discreta enquanto implantavam malware personalizado e iniciavam movimentos laterais na infraestrutura do banco. Uma ferramenta específica, conhecida como TinyShell, foi utilizada para controlar as comunicações de rede, permitindo que os dados trafegassem de forma invisível por vários sistemas internos.
Técnicas de ofuscação e monitoramento discreto
As investigações posteriores revelaram que o UNC2891 usou uma abordagem em camadas para obfuscação. Os processos de malware foram nomeados de maneira a imitar processos legítimos do sistema Linux, como “lightdm”. Esses backdoors rodavam a partir de diretórios atípicos, como /tmp, fazendo com que se confundissem com funções benignas do sistema.
Além disso, o grupo utilizou uma técnica conhecida como *Linux bind mounts* para esconder os metadados dos processos das ferramentas forenses, um método que não era tipicamente observado em ataques ativos até agora. Essa técnica foi catalogada no framework MITRE ATT&CK devido ao seu potencial para eludir detecções convencionais.
Os investigadores descobriram que o servidor de monitoramento do banco estava se comunicando silenciosamente com o Raspberry Pi a cada 600 segundos, um comportamento de rede que era sutil e, portanto, não se destacou imediatamente como malicioso. No entanto, uma análise mais profunda da memória revelou a natureza enganosa dos processos e que essas comunicações se estendiam a um servidor de correio interno com acesso persistente à internet.
Continuidade de acesso e objetivos finais
Mesmo após a remoção do implante físico, os atacantes mantinham acesso através desse vetor secundário, mostrando uma estratégia calculada para garantir a continuidade. O objetivo final era comprometer o servidor de troca de ATMs e implantar o rootkit personalizado CAKETAP, que pode manipular módulos de segurança de hardware para autorizar transações ilegítimas. Táticas como essa permitiriam saques fraudulentos que pareceriam legítimos aos sistemas do banco.
Felizmente, a intrusão foi interrompida antes que essa fase pudesse ser executada. Este incidente evidencia os riscos associados à crescente convergência de táticas de acesso físico e técnicas avançadas de anti-forense. Também revela que, além de ataques remotos, ameaças internas ou alterações físicas podem facilitar o roubo de identidade e fraudes financeiras.
Siga nosso canal @canalsegredosdodigital no Instagram e TikTok para dicas diárias sobre IA, automações e marketing digital.
Conheça a ferramenta apresentada no vídeo:
Perguntas Frequentes sobre a ferramenta
Como usar essa ferramenta de IA no dia a dia?
A ferramenta pode ser usada para otimizar diversos processos de trabalho, facilitando a automação e a eficiência no dia a dia.
Essa plataforma é gratuita ou paga?
A plataforma pode oferecer tanto opções gratuitas quanto pagas, dependendo das funcionalidades e do nível de serviço desejado.
Qual a principal vantagem dessa ferramenta?
A principal vantagem é sua capacidade de automatizar tarefas repetitivas, liberando tempo para que você possa se concentrar em atividades mais importantes.
Palavras-chave: Raspberry Pi, invasão de ATMs, segurança digital, táticas de hackers, fraudes financeiras.
Categoria: Uncategorized