LightBasin 如何利用樹莓派繞過銀行的防火牆？

LightBasin 如何利用樹莓派繞過銀行防火牆

LightBasin (又稱 UNC2891) 是一個專門針對銀行系統的駭客組織，他們結合了實體入侵和遠端控制技術。他們透過收買銀行員工或潛入銀行分行，取得銀行的實體存取權限，以便在銀行內部網路中植入具備 4G 功能的樹莓派，從而繞過銀行的安全防禦措施。

滲透與植入：樹莓派的角色

LightBasin 組織透過收買銀行員工或直接潛入銀行分行，將配備 4G 數據機的樹莓派安裝在與 ATM 相同的網路交換器上。這樣的部署使得攻擊者能夠繞過邊界防火牆，從遠端持續存取銀行內部網路。樹莓派上運行的 TinyShell 後門程式透過行動數據建立一個對外的指揮與控制 (C2) 通道，讓 LightBasin 能遠端操控銀行系統。

隱匿與偽裝：規避偵測的技巧

為了避免被偵測，LightBasin 在橫向移動時會使用名為 "lightdm" 的後門程式，偽裝成 Linux 系統中合法的 LightDM 顯示管理器。此外，他們還使用 tmpfs 和 ext4 等替代檔案系統掛載於惡意程序的 /proc/[pid] 路徑之上，隱藏相關的元資料，使其無法被鑑識工具偵測。銀行網路內部的網路監控伺服器會定期向樹莓派發出信標訊號，顯示該裝置被用作中樞跳板主機。這次攻擊的目標是偽造 ATM 授權，以便進行詐騙性的現金提領，但最終 LightBasin 的計畫並未成功。