Raspberry Pi + Банкомат: "малинка" помогла хакерам трижды взломать банки и обойти PIN-коды

Специалисты Group-IB представили подробный разбор многолетней кампании UNC2891, которая показала, насколько изобретательными остаются схемы атак на сети банкоматов. В центре внимания оказалась компактная плата Raspberry Pi, с помощью которой злоумышленники получили доступ к инфраструктуре двух индонезийских банков. Однако выяснилось, что физическое проникновение к банкомату было лишь одной частью большой криминальной работы, выстроенной таким образом, чтобы контролировать процесс от компрометации хостов до вывода обналиченных средств через сеть подставных лиц.

По данным Group-IB, UNC2891 провела три отдельных вторжения: в феврале 2022 года против одного банка, в ноябре 2023-го — против другого, а затем снова в июле 2024-го вернулась к первому. Во всех эпизодах использовалась одна и та же упаковка STEELCORGI, что позволило связать инциденты между собой. При первом проникновении злоумышленники получили контроль более чем над 30 системами, что обеспечило долговременное присутствие в инфраструктуре организации.

Отчёт показывает, что техническое вмешательство было лишь частью общей схемы. Группа активно привлекала подставных людей для снятия денег, размещая объявления в поисковых системах и анонимных каналах. Доставку оборудования для работы с клонированными картами организовывали через почтовые сервисы, а процесс вывода средств контролировали удалённо — через TeamViewer или голосовые инструкции от координаторов.

Ключевым элементом атакующего комплекса стал вредоносный модуль CAKETAP — модифицированный руткит, который перехватывал и изменял сообщения внутри банкоматной логики, обходя проверку вводимых PIN-кодов. Кроме того, CAKETAP вмешивался в ответы ARQC, поступающие от аппаратных модулей HSM, что позволяло использовать подделанные карты как полноценные. На фоне активного использования физического доступа такая комбинация давала группировке возможность работать почти незаметно.

Стойкость присутствия в инфраструктуре обеспечивалась набором индивидуально разработанных программ. TINYSHELL — создавал скрытые соединения с сервером управления через динамический DNS; SLAPSTICK — собирал учётные данные, используя ранее внедрённую библиотеку PAM; SUN4ME — строил схему внутренней сети и определял интересующие хосты; альтернативные каналы связи обеспечивались за счёт DNS-туннелирования, OpenVPN-соединений и защищённых HTTPS-каналов.

Для сокрытия присутствия применялись инструменты LOGBLEACH и MIGLOGCLEANER, позволявшие удалять следы из журналов. Дополнительные init-скрипты и служебные файлы systemd запускали бэкдоры после перезагрузки. Заметность вредоносных модулей снижалась за счёт маскировки под распространённые системные имена и использования приёмов с монтированием /proc, что затрудняло анализ.

Group-IB связывает все три эпизода между собой благодаря одинаковым криптографическим ключам, встроенным в STEELCORGI. Такой повтор ключевых артефактов в разные периоды указывает на единую команду, действующую в течение нескольких лет и обладающую необходимыми ресурсами для поддержания инфраструктуры, логистики и удалённого управления сетью подставных лиц.

Аналитики подчёркивают, что снижение числа громких инцидентов с банкоматами не означает исчезновения угрозы. Пример UNC2891 показывает, что фокус сместился в сторону комбинированных схем, где физическое вмешательство сочетается с глубокой технической подготовкой, а цепочка вывода средств продумана не менее тщательно, чем вредоносные механизмы на стороне банка.