Hacker versuchten, in ein Bankensystem einzudringen – mit einem Gerät in Kreditkartengröße. Sie platzierten einen Raspberry Pi mit 4G-Modem im Netzwerk, das die Geldautomaten steuert. Das interne Netzwerk der Bank wurde dadurch verwundbar, doch Sicherheitsexperten konnten den Angriff rechtzeitig stoppen.
So lief der Angriff ab
Die Hackergruppe UNC2891 (auch bekannt als LightBasin) schloss den Raspberry Pi physisch an denselben Netzwerkswitch an wie die Geldautomaten.
Das Gerät wurde mit einem 4G-Modem ausgestattet, wodurch Fernzugriff über Mobilfunknetze möglich war – Firewalls wurden komplett umgangen.
Die Angreifer installierten eine Backdoor namens TinyShell und nutzten eine dynamische DNS-Domain für eine verdeckte C2-Kommunikation.
Tarntechniken der Angreifer
Die Hacker setzten fortschrittliche Methoden ein, um ihre Spuren zu verwischen:
- Sie missbrauchten Bind Mounts unter Linux, um schädliche Prozesse vor forensischen Tools zu verbergen.
- Gefälschte Prozessnamen wie lightdm imitierten legitime Systemdienste, liefen aber aus kompromittierten Verzeichnissen wie
/tmpoder.snapd. - Ein Überwachungsserver sendete alle zehn Minuten Signale an den Pi, um die Verbindung als Pivot-Host aufrechtzuerhalten.
Ziel des Angriffs und Verhinderung
Untersuchungen ergaben, dass die Hacker das Rootkit CAKETAP auf dem ATM-Switching-Server der Bank installieren wollten. Dieses Tool kann Antworten von Sicherheitsmodulen fälschen, um betrügerische Geldabhebungen zu genehmigen. Zum Glück konnte der Angriff vereitelt werden, bevor das Rootkit aktiv wurde.
Größere Bedeutung
Dieser Angriff – eine Kombination aus physischer Hardware und Cyberinfiltration – zeigt, wie cyber-physische Bedrohungen kritische Infrastrukturen gefährden können. UNC2891 verfügt offenbar über tiefes Fachwissen in Linux/Unix-Systemen und verdeckter Malware-Technik.
Der Vorfall ereignete sich Anfang 2025 bei einer Bank im asiatisch-pazifischen Raum. Forscher bestätigten, dass die Hacker sogar Insider oder Boten bezahlten, um das Gerät physisch zu platzieren.
Fazit
Dieser gescheiterte ATM-Angriff zeigt, wie kleine Geräte wie der Raspberry Pi große Risiken bergen, wenn physischer Zugriff mit fortgeschrittener Schadsoftware kombiniert wird. Banken müssen ihre Netzwerke nicht nur digital, sondern auch physisch absichern. Ein Bewusstsein für selten genutzte Linux-Techniken und kontinuierliche Überwachung helfen, zukünftige Angriffe frühzeitig zu erkennen und zu stoppen.
0 Kommentare zu „Raspberry-Pi-Angriff auf Geldautomat vereitelt – Netzwerkimplantat entdeckt“