黑客尝试通过内鬼在银行安装4G树莓派绕过防火墙 然后控制ATM机直接取现金

网络安全公司 Group-IB 在调查某银行网络上的可疑活动时发现了此次入侵，所幸由于发现的比较及时因此黑客并未能成功，不过这种物理 + 远程访问的攻击案例也属实罕见。

黑客的攻击思路：

通常情况下银行内部网络与公共网络都是隔离的，而 ATM 机网络则不会直接连接公网避免被攻击，为此 UNC2891 尝试通过未知方式将附带联网模块的树莓派单板计算机植入到银行内部系统。

目前猜测是 UNC2891 可能是通过买通银行内鬼的形式委托内鬼将树莓派安装到银行内部网络中 (其实也就是接入银行内部网络)，当成功安装后，4G 模块可以直接连接公共互联网，黑客再通过连接树莓派来接入到银行内部网络。

但树莓派本身也只是跳板之一，安全公司调查后发现 UNC2891 使用树莓派进入银行内部网络后进行横向移动，在其他系统里植入恶意软件，黑客最终通过 4G 树莓派与后门程序建立基于蜂窝网络的 C2 通道。

这个 C2 通道 (C2 指的是命令和控制) 能够让黑客持续获得银行内部网络的访问权限，同时又可以绕过银行网络的防火墙，因为 4G 树莓派并不在银行防火墙的覆盖范围内。

在攻击的后续阶段黑客已经横向移动到网络监控服务器，这个服务器与银行的数据中心有更加广泛的连接，如果没有被阻止的话，黑客可能可以实现更多不同类型的攻击。

安全公司怎么发现异常的：

显然安全公司不可能在一开始就想到银行内部竟然被安装了树莓派，Group-IB 在调查时发现银行网络中的网络监控服务器每隔 600 秒会在 929 端口上向树莓派发送信标信号，这表明这台树莓派充当枢轴主机。

最初安全公司也没想到黑客还能通过物理方式渗透到银行内部，而发现网络上的可疑活动后就可以进行针对性的排查了，最终解开了一起通过物理 + 远程访问的攻击行为。

值得注意的是 UNC2891 最终目标应该是部署 Caketap rookit 后门程序，这个后门程序是专门为甲骨文 Oracle Solaris 系统创建的，该系统被金融机构广泛使用。

Caketap rookit 能够操纵支付硬件安全模块响应，特别是银行卡类的响应消息，这可以授权银行系统批准可疑的支付，比如通过 ATM 机直接取款。