銀行ネットワークに4G搭載Raspberry Piが設置される　目当てはATMからの不正引き出し

佐々山 Tacos

2025.07.31

銀行ネットワークに4G搭載Raspberry Piが設置される　目当てはATMからの不正引き出し

BleepingComputer – July 30, 2025

ハッキンググループUNC2891（LightBasin）による、銀行ATMからの不正な現金引き出しを目的とした攻撃についてGroup-IBが報告。実際の被害が出る前に阻止されたこの攻撃では、銀行のネットワーク上に4G搭載のRaspberry Pi（ラズペリーパイ）を設置するという珍しい初期アクセス獲得手段が用いられていたほか、それまで公に報告されていなかった新たなアンチフォレンジック手法が採用されていたという。

LightBasinは、2016年から活動する金銭的動機を持つグループ。オープンソースのバックドア「TinyShell」を用いた電気通信システムへの攻撃を実施してきたほか、2022年のMandiantのレポートでは、金融セクターで使われるOracle Solarisシステム向けのUnixカーネルルートキット「Caketap」を用いるなど、銀行システムを攻撃することでも知られている。Caketapは決済用ハードウェアセキュリティモジュール（HSM）のレスポンスを模倣することで、本来なら銀行のシステムによりブロックされるはずの不正なトランザクションを認可させる性能を持つ。

Group-IBが報告した攻撃において、LightBasinはまず、ある銀行の支店への物理的なアクセスを獲得。これはグループのメンバーが直接現地に出向くか、あるいは銀行の職員を買収するかのいずれかの手段により実現され、ATMが使用するのと同じネットワークスイッチに4Gモデム搭載のRaspberry Piが設置されたという。このRaspberry Piのインターネット接続性能を使うことで、LightBasinは境界上のファイアウォールを回避し、銀行の内部ネットワークへのリモートアクセスを維持することに成功していた。またRaspberry PiによりホストされたTinyShellバックドアは、モバイルデータ通信を通じたC2チャネルの確立に利用されている。

LightBasinはその後、ネットワークモニタリングサーバーへ横方向に移動したほか、直接インターネットに接続されているメールサーバーにも到達。これにより、Raspberry Piが発見され、取り除かれた後でも永続性が維持されていたという。

Group-IBはまた、この攻撃のステルス性の高さについても強調。LightBasinが採用したステルス戦術の1つは、バックドアに「lightdm」と命名し、Linuxシステムで使われる正規のディスプレイマネージャー「LightDM」を模倣することにより無害なようにみせかけるというもの。加えて、tmpfsやext4といった代替ファイルシステムを悪意あるバックドアプロセスの「/proc/[pid]」でマウントすることにより、関連するメタデータをフォレンジックツールから隠すというアンチフォレンジック戦術も使われていたという。なお、当時の時点でまだ公に報告されていなかったこのバインドマウント手法は、その後MITRE ATT&CKに「T1564.013（Hide Artifacts: Bind Mounts）」として登録されている。

Group-IBによると、LightBasinの最終目標はCaketapルートキットをデプロイしてATMからの不正引き出しに繋げることだったとみられる。この目論見は実現しなかったものの、このインシデントは、複数のアンチフォレンジック手法を組み合わせて高度なステルス性を維持したハイブリッド攻撃（物理的アクセスとリモートアクセスを組み合わせた攻撃）の貴重な事例となった。

Group-IBはこのインシデントを踏まえ、フォレンジックトリアージツールを単独で使うのでは不十分であり、メモリ・ネットワークフォレンジックも必要であること、ルートキットやLinuxのあまり知られていない機能（バインドマウントなど）を使えば従来型のインシデント対応プレイブックを効果的に打破可能であること、また物理アクセスおよび論理アクセスベクターはいずれも銀行インフラの脅威モデルに加えなければならないこと、の3点を教訓として挙げている。