В мире кибербезопасности все чаще появляются угрозы, связанные не только с удаленными взломами, но и с физическим проникновением злоумышленников в инфраструктуру банков и других финансовых учреждений. Группа UNC2891 в 2025 году привлекла особое внимание экспертов благодаря своей инновационной и опасной атаке на банкоматные сети. Для реализации своих преступных замыслов хакеры использовали компактное устройство Raspberry Pi с подключением по 4G, а также применяли сложнейший rootkit CAKETAP. Это позволило им получить доступ к критической инфраструктуре и осуществлять мошеннические операции с деньгами клиентов банков. Расскажем подробно о сути атаки, используемых технологиях и возможных мерах защиты от подобных угроз.
Первоначально UNC2891 получили известность в 2022 году, когда исследователи обнаружили их деятельность, связанную с взломами ATM switching networks — механизмов, обеспечивающих подключение и управление банкоматами в банковских системах. Группа специализируется на несанкционированных выводах средств с использованием поддельных карт и продвинутых методов обхода защиты. Новая кампания 2025 года продемонстрировала повышение уровня их технических навыков и реализации сложных киберфизических атак. Ключевым этапом взлома стало физическое внедрение Raspberry Pi — миниатюрного компьютера, оснащенного 4G-модемом. Устройство было подключено непосредственно к сетевому коммутатору, к которому также подключались банкоматы.
Точный способ получения доступа к оборудованию пока неизвестен, но факт наличия Raspberry Pi внутри защищенной инфраструктуры указывает на физический доступ злоумышленников. Благодаря 4G-модему Raspberry Pi могла поддерживать постоянное удаленное соединение с командно-контрольным центром злоумышленников посредством динамического DNS-домена. Такой способ связи гарантирует устойчивость канала C2, обходя традиционные сетевые фильтры и фаерволы, поскольку Raspberry Pi инициирует исходящее соединение через мобильную сеть. Через это соединение хакеры запускали backdoor под названием TINYSHELL, который обеспечивал полный контроль над устройством и доступ к банковской сети. На следующем этапе злоумышленники стремились развернуть на сервере переключения банкоматов rootkit CAKETAP — ядровой модуль, разработанный для сокрытия своей активности.
CAKETAP способен маскировать сетевые подключения, процессы и системные файлы, также он перехватывает сообщения о проверке карт и PIN-кодов, поступающие из аппаратных средств безопасности (HSM). За счет этих функций rootkit позволяет мошенническим операциям проходить незамеченными и выполнить несанкционированный вывод средств. Анализ проведенный компанией Group-IB показал, что методика атак UNC2891 во многом перекликается с тактиками другой группы — UNC1945, известной как LightBasin. LightBasin также ранее атаковали компании в финансовом и консалтинговом секторах, используя сложные техники проникновения и долгосрочного удержания контроля над инфраструктурой. Характерно, что злоумышленники демонстрируют глубокое техническое понимание Linux и Unix систем, что отражается в тонкой доработке бекдоров и технических средств маскировки.
Примером является внедрение backdoor с именем lightdm на сервер мониторинга внутри жертвы. Этот бекдор создает активные соединения, связывающие систему с Raspberry Pi и внутренним почтовым сервером. Для того чтобы избежать обнаружения, злоумышленники применяют методику bind mounts — монтирование файловых систем таким образом, чтобы процессы и файлы злоумышленников не отображались в стандартных списках процессов и файловых систем. Данная тактика значительно усложняет обнаружение вредоносных компонентов с инструментами мониторинга и антивирусами. Несмотря на то, что Raspberry Pi удалось обнаружить и извлечь, UNC2891 сохранили доступ к сети через встроенный бекдор в почтовом сервере.
Это подчеркивает серьезность угрозы, так как даже удаление внешнего устройства не гарантирует устранение проникновения. Для защиты от подобных атак необходимо комплексно подходить к безопасности. Во-первых, следует усилить контроль физического доступа к критическим IT-объектам, таким как серверные комнаты и сетевое оборудование. Выполнять регулярные проверки и мониторинг отсутствия посторонних устройств. Во-вторых, важно обеспечить многоуровневую защиту сетевой инфраструктуры, в том числе сегментацию сети и использование средств обнаружения аномалий.
Технические решения должны включать мониторинг не только пакетов данных, но и поведения системных процессов, чтобы выявить скрытые монтирования и подозрительные бекдоры. В-третьих, актуальна реализация строгих политик управления обновлениями систем и программного обеспечения, особенно ядра операционных систем и уязвимых сервисов, через которые злоумышленники могут получить доступ. Особое внимание стоит уделить защите почтовых серверов — традиционно слабой точке многих компаний. В-четвертых, обучение персонала и своевременное информирование о новых угрозах играют важнейшую роль. Сотрудники должны распознавать попытки социальной инженерии и понимать важность соблюдения правил безопасности.
Инцидент с UNC2891 демонстрирует, что угрозы в финансовом секторе становятся все более изощренными и включают в себя не только удаленные кибератаки, но и физические криминальные действия с использованием современных технологий. Для банков и провайдеров ATM-систем критически важно внедрять адаптивные методы защиты, способные противостоять даже хорошо замаскированным угрозам. Вместе с тем опыт Group-IB и Mandiant показывает, что выявление таких атак возможно благодаря глубокому анализу сетевого трафика и поведению устройств в инфраструктуре. В будущем для противодействия таким угрозам можно ожидать повышение роли искусственного интеллекта и поведенческого анализа безопасности — этих технологий, способных обнаруживать скрытую активность rootkit и бекдоров на ранних стадиях. Таким образом, атака UNC2891 с применением 4G Raspberry Pi и rootkit CAKETAP является предупреждением для всех участников финансовой индустрии о необходимости постоянного совершенствования систем безопасности и готовности оперативно реагировать на новые виды угроз.
Безопасность банковских систем — это не просто техническая задача, но и комплекс мер, включающих защиту периметра, внутренний контроль, анализ поведения и повышение осведомленности сотрудников. Только комплексный и профессиональный подход позволит минимизировать риски и сохранить доверие клиентов в условиях растущей киберпреступности.
