報導摘要

根據資安公司 Group-IB 的報告，一個名為 UNC2891 的網路犯罪集團在 2024 年第一季，對印尼某家銀行發動了一次實體與數位結合的複合式攻擊。駭客集團透過賄賂「跑腿者」，成功將一台裝有 4G 數據機的樹莓派（Raspberry Pi）電腦，實際植入到銀行 ATM 所連接的網路交換器上。這台裝置讓駭客得以遠端連線到銀行的內部網路，繞過傳統的周邊防火牆。駭客隨後部署了一個名為「Tinyshell」的後門程式，以建立持久性存取，並成功從被入侵的 ATM 提取現金。雖然攻擊在數天後被緩解，但此事件突顯了網路犯罪分子如何利用新的技術和手段，來對抗傳統的資安防禦。

資安風險

此事件揭示了幾個關鍵的資安風險：

1. 內部威脅與實體入侵：攻擊者透過賄賂內應，成功進行了實體入侵，將惡意裝置植入到銀行的核心網路設備上。這種手法繞過了所有數位資安防禦，成為最難以防範的威脅之一。
2. 新型惡意工具：駭客使用了樹莓派這類小型、低成本且功能強大的裝置作為入侵媒介，並利用 4G 數據機建立遠端連線。這使得他們可以完全脫離實體位置，遠端控制銀行內部網路。
3. 高階隱匿技巧：駭客部署的 Tinyshell 後門程式，將自己偽裝成 Linux 系統中常見的顯示管理器，並利用 Linux bind mounts 技術隱藏其惡意活動，增加了資安鑑識人員的偵測難度。這種技術的複雜性顯示攻擊者具備高超的技術能力。
4. 傳統防禦失效：傳統上，周邊防火牆被視為保護內部網路的第一道防線。然而，這種實體植入攻擊手法直接繞過了防火牆，使其形同虛設。

安全影響

UNC2891 的攻擊行動對企業造成了多層面的安全影響：

1. 直接財務損失：駭客成功從 ATM 提取現金，造成銀行直接的財務損失。雖然報告未公布具體金額，但這類攻擊的潛在損失通常非常巨大。
2. 企業聲譽受損：此類事件一旦公開，將嚴重損害銀行在客戶心中的信任和聲譽，影響其市場競爭力。
3. 複雜的應變挑戰：由於駭客使用了高階的混淆與隱匿技術，鑑識團隊難以快速定位問題。這不僅延長了應變時間，也增加了修復成本。
4. 內部人員管理漏洞：攻擊暴露了企業在內部人員管理上的重大漏洞，尤其是在涉及敏感網路設備存取權限的人員。這提醒企業必須重新審視其人員篩選與監督機制。

行動建議

為應對這類複合式威脅，企業應採取以下行動：

1. 加強實體安全措施：對於所有重要的網路設備（如網路交換器、伺服器），應實施更嚴格的物理存取控制，並安裝監控設備。應定期審查與維護這些設備的人員清單。
2. 內部人員風險管理：建立嚴格的內部人員風險評估和監控機制。對於任何可疑行為，應立即進行調查。
3. 部署進階資安監控：除了傳統的周邊防禦，應部署能夠進行記憶體和網路鑑識的進階監控工具。這些工具可以幫助偵測和識別傳統工具無法發現的高階惡意行為。
4. 重新審視資安應變計畫：傳統的資安應變計畫可能無法應對這種複合式攻擊。企業應定期演練，並將實體與數位入侵情境納入其中，以提升應變能力。

結論

UNC2891 對印尼銀行的攻擊是一個典型的範例，說明現代網路犯罪已不再僅限於遠端入侵。駭客正將實體世界與數位世界結合，透過賄賂內應或利用其他物理手段，繞過傳統的資安防禦。此事件提醒所有企業，資安防護必須是一個全面且多層次的計畫，不僅要強化數位防線，更要重視實體安全、內部人員風險管理及進階的資安監控。在不斷演變的威脅環境中，唯有採用更具前瞻性的資安策略，才能有效保障企業資產與客戶信任。

資料來源：https://www.theregister.com/2025/08/01/cybercrooks_bribed_lackeys_in_physical/