Hacker verbinden Raspberry Pi mit dem Switch eines Geldautomaten, doch wie sie es das geschafft haben, ist unklar

Das gab es wohl noch nie: Das Hackerteam UNC2891 platzierte einen 4G‑Raspberry Pi direkt am ATM‑Switch einer Bank.

Marten Neelsen
07.08.2025 | 11:00 Uhr

Mit einem Raspberry Pi am Geldautomaten hebelten Hacker Anfang 2025 physische und digitale Sicherheitsgrenzen zugleich aus. (Bildquelle: stock.adobe.com - Cagkan) Mit einem Raspberry Pi am Geldautomaten hebelten Hacker Anfang 2025 physische und digitale Sicherheitsgrenzen zugleich aus. (Bildquelle: stock.adobe.com - Cagkan)

Eine besonders clevere Cyber-Physische Attacke hat sich im ersten Quartal 2025 ereignet: Die Hackergruppe UNC2891 schloss einen Raspberry Pi mit 4G‑Modem direkt an den Inter­net-Switch eines Geldautomaten an.

Das Ziel war es, sämtliche Netzwerkgrenzen zu umgehen. Wie das Gerät ins sichere Banknetz gelangt ist – ob durch Insider, Social Engineering oder unbeaufsichtigte Räume – bleibt weiterhin rätselhaft.

Der Fall wurde nun von der Group‑IB veröffentlicht.

Was ist ein Raspberry Pi?

Ein Raspberry Pi ist ein sehr kompakter, kostengünstiger Einplatinen-Computer. Im Kern handelt es sich um mehrere Chips, die auf eine Kreditkartengröße passen und alle grundlegenden Computerbauteile (Prozessor, Netzwerkanschluss, USB-Ports) enthalten.

Die Oberansicht eines Raspberry Pi. Quelle: Wikimedia Commons Die Oberansicht eines Raspberry Pi. Quelle: Wikimedia Commons

Ursprünglich wurde er entwickelt, um Programmieren zu lernen, wird heute aber weltweit als Bastelgerät, Mini-Server oder für IoT-Projekte eingesetzt.

Verkauf und Ankauf sind legal. Auch auf Amazon könnt ihr das Gerät bestellen.

Wer oder was ist UNC2891?

  • UNC2891 ist eine professionelle, finanziell motivierte Hackergruppe, auch bekannt als LightBasin. Laut Group‑IB ist sie bereits seit mindestens 2017 aktiv – vor allem im Bereich von Banken, Telekommunikationsnetzwerken und kritischer Infrastruktur.
  • Sie nutzt kleine Programme wie TinyShell (eine Fernsteuer-Backdoor) oder Slapstick (ein Tool zum Passwortabgriff).
  • Am gefährlichsten ist ihr Rootkit „CAKETAP“, das sich tief im System versteckt und sogar die Kommunikation mit sogenannten Hardware-Sicherheitsmodulen (HSM) manipulieren kann – also mit den digitalen „Tresoren“, die PINs und Transaktionen absichern.

Wer sich noch mehr für UNC2891 interessiert, findet hier einen spannenden Vortrag von Takahiro Sugiyama von Mandiant über einen Bankraub als Case Study.

Video starten 0:57 Asus steckt die RTX 5080 in ein 3-Liter-Gehäuse – neuer Mini-PC vorgestellt

Was genau geschah in diesem Fall?

Group‑IB beschreibt in einem Bericht vom 30. Juli, dass die Hackergruppe UNC2891, auch LightBasin genannt, einen Raspberry Pi mit 4G‑Modem direkt am Netzwerk-Switch eines Geldautomaten anschließen konnte.

Damit gelang ihnen Zugang zum internen Netzwerk. Sie konnten Firewalls und andere Schutzschichten umgehen, weil der Pi aus dem Mobilfunknetz heraus kommunizierte.  

  • Auf dem Mini-Rechner lief die Schadsoftware TinyShell, ein leichtgewichtiges, Open-Source-Backdoor-Tool, das eine stabile Kommandozentrale über mobile Datenverbindungen ermöglichte.
  • Über diese Verbindung verschafften sich die Angreifer Fernzugriff und bewegten sich später lateral durch das Banknetzwerk – zunächst zum Netzwerküberwachungsserver, dann zum Mailserver der Bank. 
  • Letzterer hatte direkten Internetzugang und diente als Kommunikationsdrehscheibe, selbst nachdem der Raspberry Pi entdeckt und entfernt worden war.
GEEKOM A6 Mini PC
GEEKOM A6 Mini PC
AMD Ryzen 7 6800H(bis zu 4.7 GHz), Radeon 680M, 32GB DDR5 1TB SSD, WiFi 6E, BT5.2, USB4 x 2, 4K Quad Display, Windows 11 Pro
ab 479 €

Was macht diesen Fall so spannend?

Statt Angriff über Phishing oder Netzwerke wurde ein marktüblicher, einfacher Mini‑Computer mit 4G‑Modem direkt an den Switch eines Geldautomaten angeschlossen. Dadurch wurde die innere Firewall des Banknetzwerks vollständig umgangen.

Dieser Zugang war so überzeugend getarnt, dass selbst erfahrene Sicherheitsteams diese Form der Infiltration in den bisherigen Angriffsmustern nicht für möglich hielten.

Zudem war das Anti-Forensik-Vorgehen auch neuartig. Die Angreifer ließen die Malware sich als ein ganz gewöhnliches Programm namens lightdm ausgeben – ein bekannter Linux-Dienst, der eigentlich zur grafischen Anmeldung gehört.

Auf den ersten Blick sah alles harmlos aus, doch sie versteckten das Schadprogramm in einem Pfad, der völlig untypisch war. Damit war klar: Hier stimmte etwas nicht. Dieses Vorgehen nennt man »Blind Mount«.

Damit wurde eine bislang ungeklärte Technik erstmals beobachtet: Bind-Mount-Missbrauch war kein theoretisches Konzept, sondern wurde praktisch eingesetzt und anschließend sicherheitstechnisch katalogisiert. Die Malware versteckte sich also quasi wie ein Harry Potter im unsichtbaren Umhang.

Mehr über Cybersecurity
Ist euer ChatGPT-Account in Gefahr? Im Darknet sind mehr als 100.000 Zugänge aufgetaucht
von Jusuf Hatic
Ist euer ChatGPT-Account in Gefahr? Im Darknet sind mehr als 100.000 Zugänge aufgetaucht
Das Unternehmen gab es für 158 Jahre und es hatte 700 Mitarbeiter: Ein schwaches Passwort reichte aus, um es in die Knie zu zwingen
von Jonas Herrmann
Das Unternehmen gab es für 158 Jahre und es hatte 700 Mitarbeiter: Ein schwaches Passwort reichte aus, um es in die Knie zu zwingen
Hacker demonstriert auf Cybersecurity-Konferenz, warum das Bluetooth des iPhones manchmal komplett abgeschaltet werden sollte
von Nils Raettig
Hacker demonstriert auf Cybersecurity-Konferenz, warum das Bluetooth des iPhones manchmal komplett abgeschaltet werden sollte

Warum ist noch unklar, wie der Zugriff gelingen konnte?

Weder Group‑IB noch beteiligte Stellen haben bisher detailliert offengelegt, wie das Gerät überhaupt platziert werden konnte, etwa durch Insiderzugang, Social Engineering oder unbeaufsichtigte Räume.

Auch in früheren Fällen von UNC2891 bzw. LightBasin sind die Erstzugriffsmethoden häufig ungeklärt. Group‑IB selbst betont, dass der Raspberry‑Pi‑Fall aus dem Jahr 2025 sich durch diese fehlenden Nachweise konsistent einreiht.

zu den Kommentaren (2)
Kommentare(2)
Kommentar-Regeln von GameStar
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.
Kommentare einblenden

Nur angemeldete Benutzer können kommentieren und bewerten.

Ich habe ein Konto
Kostenlos registrieren
Neueste zuerst
Älteste zuerst
Top Kommentare
Aktuelle News
alle anzeigen
Endspurt beim Steam Spring Sale: Unsere wichtigsten Empfehlungen im schnellen Überblick kurz vor Schluss

vor 7 Minuten

Endspurt beim Steam Spring Sale: Unsere wichtigsten Empfehlungen im schnellen Überblick kurz vor Schluss
Scrubs: Sind JD und Elliot in der neuen Staffel noch ein Paar? Wir kennen jetzt die offizielle Antwort   9     1

vor 29 Minuten

Scrubs: Sind JD und Elliot in der neuen Staffel noch ein Paar? Wir kennen jetzt die offizielle Antwort
Star Wars: Jetzt wissen wir, warum Anakin Skywalker nicht in Episode 9 zu sehen war [Best of GameStar]   90     3

vor 45 Minuten

Star Wars: Jetzt wissen wir, warum Anakin Skywalker nicht in Episode 9 zu sehen war [Best of GameStar]
Speicherkrise durch KI-Rechenzentren: Die nächsten RAM-Fresser sollen bereits vor der Tür stehen

vor 51 Minuten

Speicherkrise durch KI-Rechenzentren: Die nächsten RAM-Fresser sollen bereits vor der Tür stehen
mehr anzeigen