巧妙な手口でATMを狙うUNC2891

秘密裏に活動するサイバー犯罪グループUNC2891が、数年間にわたり東南アジアの銀行ATMから現金を窃取していることが明らかになりました。彼らはカスタムマルウェアと隠されたハードウェアを組み合わせた巧妙な手口を用いており、その活動は2017年から続けられていました。

Group-IBの最新の調査によると、この金銭目的の脅威アクターは、デジタルハッキングと物理的な侵入を融合させた独自の技術を駆使し、数十の銀行システムへのアクセスを維持していました。最も驚くべき発見は、攻撃者がRaspberry Piデバイスを物理的に銀行ネットワーク内に、特にATMスイッチの近くに設置していたことです。この安価な小型コンピュータは4Gモデムに接続されており、従来の境界セキュリティを完全に迂回する直接的なバックドアとなっていました。これは、サイバー犯罪が常に高度なコードだけではなく、時には最も単純なツールが危険な存在となることを示唆しています。

ハッカー集団の隠された武器庫

UNC2891は、LinuxおよびUnixシステムに関する深い専門知識を活用し、6種類のカスタムマルウェアを展開して銀行インフラを操作していました。これらのツールには、CAKETAP、SLAPSTICK、TINYSHELLなどがあり、アラームをトリガーしたり痕跡を残したりすることなく、取引をリアルタイムで傍受・変更する役割を担っていました。彼らの洗練された手法はマルウェアに留まらず、活動を隠蔽し、銀行ネットワーク全体でステルス的な水平移動を確実にするために、Linuxのバインドマウント乱用を含む高度なフォレンジック対策技術を用いていました。この運用セキュリティのレベルが、彼らが7年間も検出されずに活動できた理由を説明しています。

デジタルと物理を融合した窃盗エコシステム

UNC2891がユニークなのは、金銭窃取にはハッキングだけでなく、実際に現金を引き出すプロセスが必要であることを理解していた点です。Group-IBの調査では、攻撃者がTelegramやGoogle広告を通じて共犯者（いわゆる「マネーミュール」）を募集する、完全なマネーミュール運用が明らかになりました。これらのマネーミュールは、犯罪組織のために、どのATMを訪問し、侵害された支払カードを使用して盗まれた資金を引き出すかについての指示を受け取っていました。ネットワーク侵害、カスタムマルウェアの展開、そして人間による関与を組み合わせたこのハイブリッドアプローチは、現代の金融サイバー犯罪が孤立したハッキング行為ではなく、完全なエコシステムとして機能していることを示しています。

金融機関への教訓と対策

ATMネットワークは、世界の金融セキュリティにおける最も脆弱なリンクの一つです。銀行はデジタル防御に多大な投資を行ってきましたが、物理的なセキュリティとネットワーク隔離の対策は遅れがちです。UNC2891の戦術は、従来の防御策だけではもはや不十分であることを示しています。彼らの成功は、決意を持った攻撃者が技術的な専門知識と創造的な問題解決を組み合わせることで、厳重に保護されたシステムにさえ到達できることを証明しています。

この発見はまた、ネットワークインフラへの物理的なアクセス監視の重要性を浮き彫りにしています。Raspberry Piのような小型デバイスでも、戦略的に配置されれば銀行業務全体を危険にさらす可能性があります。Group-IBの詳細な分析は、銀行が同様の攻撃から防御するためのロードマップを提供しています。UNC2891の戦術、技術、手順、マルウェアの署名、そしてマネーミュールの募集方法を理解することは、金融機関が犯罪者が数百万ドルの現金を盗む前にこれらの運用を検出して阻止するために必要な情報を提供します。

元記事: https://gbhackers.com/unc2891-hackers-use-raspberry-pi-and-fake-cards-to-steal-atm-cash/