Imagine entrar fisicamente em um banco, plugar um Raspberry Pi na mesma rede do caixa eletrônico e sair de lá com uma porta aberta para fraudes remotas. Parece ficção, mas foi exatamente isso que o grupo UNC2891 tentou fazer em um ataque digno de filme. A operação, identificada pela Group-IB, envolveu engenharia física, backdoor remoto e o temido rootkit CAKETAP.
O ataque começa com… um Raspberry Pi
A arma do crime? Um Raspberry Pi com modem 4G embutido. O atacante teve acesso físico à infraestrutura e conectou o dispositivo diretamente a um switch de rede compartilhado com o ATM. A partir dali, o jogo virou digital: o Pi abriu um canal de comunicação externo via TINYSHELL e DNS dinâmico, completamente fora do alcance dos firewalls tradicionais.
Ou seja, os sistemas de segurança ficaram cegos enquanto o invasor navegava dentro da rede como se estivesse na casa dele.
CAKETAP: o rootkit invisível que conversa com caixas eletrônicos
O objetivo final do ataque era implantar o rootkit CAKETAP, um módulo de kernel desenvolvido para fazer basicamente tudo o que você não quer que um malware faça: esconder conexões, disfarçar processos, interceptar comandos, forjar verificações de cartão e PIN, e claro, permitir saques fraudulentos diretamente nos ATMs.
Esse rootkit não é coisa de script kiddie. Ele é projetado para manipular comunicações com os módulos de segurança de hardware (HSMs), que são justamente os responsáveis por validar transações e proteger dados sensíveis no setor bancário.
O grupo por trás do golpe: UNC2891
O nome já não é novo no radar da cibersegurança. O grupo UNC2891 foi identificado pela primeira vez em 2022 pela Mandiant, com ataques direcionados especificamente a redes de comutação de ATMs e fraudes com cartões clonados.
Eles compartilham táticas com o também famoso grupo UNC1945, conhecido por atacar provedores de serviços gerenciados e empresas do setor financeiro e consultivo. Ambos têm uma coisa em comum: dominam sistemas baseados em Linux e Unix com maestria.
Mais que um Pi: havia backdoors espalhados pela rede
Mesmo depois que o Raspberry Pi foi encontrado e removido, o estrago estava longe de ser contido. Os pesquisadores descobriram backdoors com nome camuflado de “lightdm” nos servidores de monitoramento da rede e também no servidor de e-mails interno. Tudo estava configurado para se conectar automaticamente ao Pi e manter o canal de controle ativo.
Pior: os hackers usavam “bind mounts” uma técnica para esconder processos e arquivos, evitando que ferramentas de monitoramento identificassem atividades suspeitas.
Campanha interrompida mas o alerta está dado
Por sorte, a operação foi detectada a tempo e interrompida antes de causar perdas financeiras diretas. Mas o que fica é a lição: os sistemas bancários, especialmente os de ATM, continuam sendo alvos extremamente atraentes e vulneráveis quando combinados com acesso físico e técnicas avançadas de persistência.
Resumo do golpe, estilo hacker realista:
- Um Raspberry Pi com 4G é conectado à rede física do banco
- O Pi ativa um backdoor via DNS dinâmico
- A rede do ATM é acessada remotamente, burlando todos os firewalls
- O plano era implantar o CAKETAP no servidor de switching de ATM
- Backdoors camuflados mantinham o acesso mesmo após a remoção do Pi
A pergunta que fica:
Se um dispositivo de menos de 500 reais pode comprometer toda a rede de caixas eletrônicos de um banco, quão preparada está sua empresa para esse tipo de ameaça híbrida?
