報導摘要

資安專家揭露了一個由金錢動機驅動的駭客組織UNC2891，發動了一場結合實體與網路的複合式攻擊，目標是自動櫃員機（ATM）的基礎設施。這場攻擊涉及駭客實際接觸到ATM設備，並安裝一個配備4G網卡的Raspberry Pi裝置。該裝置被直接連接到與ATM共用的網路交換器上，從而成功繞過周邊防火牆的防護。駭客利用這個Raspberry Pi上的TINYSHELL後門程式建立了一個命令與控制通道，以便從外部持續存取內部網路，其最終目的是在ATM的交換伺服器上部署名為CAKETAP的內核模組Rootkit，以進行詐騙性的提款操作。

資安風險

UNC2891的攻擊模式凸顯了幾項重大的資安風險。首先，它結合了實體入侵和網路攻擊，使得單純依賴網路防火牆的防禦措施失效。其次，攻擊者利用了樹莓派（Raspberry Pi）這類小型、廉價且功能強大的裝置，可以輕易地被隱藏在不易察覺的地方。更關鍵的是，即使在被發現並移除後，攻擊者仍能透過預先植入在郵件伺服器上的後門程式維持對內部網路的存取權，這顯示出其高度的持久性和隱蔽性。攻擊的最終目標是部署 Rootkit，這類惡意軟體能深度隱藏在作業系統核心中，極難被偵測和移除，對系統完整性構成嚴重威脅。

備註：樹莓派（Raspberry Pi）是一款信用卡大小的單板電腦（Single-Board Computer, SBC）。簡而言之，它就是一台功能齊全的電腦，只是體積非常小巧，而且價格相對便宜。它由英國的樹莓派基金會（Raspberry Pi Foundation）開發，最初的目的是為了推廣電腦科學教育，讓更多人能夠輕鬆學習程式設計和硬體知識。

安全影響

這類針對ATM網路的攻擊對金融機構和使用者都造成深遠的安全影響。對於金融機構而言，如果Rootkit被成功部署，駭客將能夠操縱ATM系統，導致大規模的金融詐騙。這不僅會造成巨大的金錢損失，還會嚴重損害銀行的信譽，動搖公眾對金融系統的信任。此外，這類攻擊也暴露出實體安全與網路安全之間可能存在的斷層，迫使金融機構重新審視其整體安全策略。對於使用者而言，雖然報導中提及攻擊在造成重大損失前被中斷，但若攻擊成功，將可能導致帳戶被盜用，存款被非法提領，對個人資產造成直接威脅。

行動建議

1. 強化實體安全措施：增加對ATM設備和機房的實體監控，確保只有授權人員才能接觸設備。
2. 實施網路分段（Network Segmentation）：將ATM與核心網路進行嚴格的網路分段，限制其之間的通訊，以防範橫向移動攻擊。
3. 部署端點偵測與回應（EDR）：在ATM伺服器上部署EDR解決方案，以偵測並阻止Rootkit這類惡意軟體的部署。
4. 持續監控：對網路流量進行持續性監控，特別是針對異常的對外連線，即使是看似無害的設備也應納入監控範圍。
5. 定期進行滲透測試：模擬這類複合式攻擊，以發現並修補潛在的實體與網路安全漏洞。

結論

UNC2891駭客組織的攻擊案例是一次重大的警示，表明駭客正利用愈發複雜的技術，結合實體與網路手段，來攻擊高價值的目標。這類攻擊挑戰了傳統的資安防禦思維，因為它們能夠輕易繞過單一面向的防護措施。金融機構必須認識到，實體安全與網路安全是相輔相成的，需要整合性的防禦策略才能有效應對。唯有全面強化從實體到軟體層面的每一個環節，才能確保金融系統的穩定與安全。