Hakovani serveri banaka – bankomati izbacivali milione

Lazarus grupa ponovo napada, ovoga puta kao Hidden Cobra!

Hakovani serveri banaka – bankomati izbacivali milione

Američke federalne agencije i US-CERT su izdali zajedničko upozorenje o novim aktivnostima hakerske grupe Hidden Cobra, poznate i kao Lazarus i Guardians of Peace. U pitanju je grupa iza koje najverovatnije stoji vlada Severne Koreje i koja je u prošlosti lansirala veliki broj napada na medijske kuće, finansijske organizacije i infrastrukturna postrojenja širom sveta. Povezuju ih sa WannaCry ransomware napadima koji su prošle godine izazvali poremećaje u radu bolnica i velikih kompanija širom sveta, sa velikim SWIFT napadom na centralnu banku Bangladeša 2016. godine u kom su ukrali 81 milion dolara, kao i sa napadom na kompaniju Sony Pictures 2014. godine.

Nedavno je otkriveno da hakerska grupa kompromituje servere banaka kako bi podigla gotovinu sa bankomata. Da stvar bude gora, napadi se dešavaju još od 2016, a možda i od ranije. U pitanju je sajber napad koji je nazvan FASTCash.

Kako FASTCash napad funkcioniše?

Napadači su daljinski kompromitovali "switch application server" u ciljanim bankama kako bi izvršili nedozvoljene transakcije na bankomatu. Switch application server je ključna komponenta bankomata i POS infrastrukture koja komunicira sa bankarskim sistemom radi validacije podataka sa bankovnog računa korisnika kako bi se obavila zahtevana transakcija. Kad god koristite platnu karticu na bankomatu ili POS uređaju, softver preko pomenutog servera vrši validaciju transakcije – odobrava je ili odbija u zavisnosti od raspoloživih sredstava na vašem bankovnom računu.

Hidden Cobra hakeri su, međutim, uspeli da kompromituju switch application servere različitih banaka u kojima su imali otvorene račune (i platne kartice) sa minimalnim sredstvima ili bez sredstava. Malver koji su instalirali na kompromitovanim serverima je presretao zahteve za transakcije koji su povezani sa platnim karticama napadača što je rezultiralo lažnim potvrdnim odgovorima koji izgledaju legitimno bez prave validacije raspoloživih sredstava na računu, zbog čega su bankomati izbacivali veliku količinu novcu bez obaveštavanja banaka.

Prema nekim procenama, hakeri su do sada na ovaj način ukrali na desetine miliona dolara. U jednom incidentu iz prošle godine, napadači su omogućili istovremeno podizanje gotovine sa bankomata u preko 30 zemalja. U incidentu iz ove godine, uradili su isto u 23 države. Poznato je da su mete FASTCash napada banke u Africi i Aziji, a ispituje se da li ima žrtava u SAD-u.

Kako su kompromitovani Switch Application serveri?

Iako se ne može sa sigurnošću tvrditi koji je inicijalni vektor napada na banke, veruje se da su u pitanju spear-phishing email poruke sa malicioznim exe fajlovima koji su ciljali zaposlene u različitim bankama. Kada se fajl otvori, računar zaposlenog biva zaražen malverom koji napadačima omogućava lateralnu kretnju kroz mrežu banke korišćenjem legitimnih kredencijala, kao i širenje malvera na payment switch application servere. Iako većina kompromitovanih servera ima nepodržanu verziju IBM-ovog Advanced Interactive eXecutive (AIX) operativnog sistema, nisu pronađeni dokazi da su napadači eksploatisali neku od ranjivosti ovog OS-a.

US-CERT preporučuje bankama da uvedu obaveznu dvofaktorsku autentifikaciju za pristupanje korisnika switch application serveru i da se pridržavaju proverenih saveta za zaštitu svojih mreža. Omogućili su i listu indikatora kompromitovanosti (IoC) koju možete preuzeti kako bi blokirali pretnje i umanjili izloženost malicioznim sajber aktivnostima Hidden Cobra hakerske grupe.

Šta se još povezuje sa Hidden Cobra hakerima?

Prema US-CERT upozorenju iz maja ove godine, grupa je odgovorna i za dva različita malvera – trojanac (RAT) Joanap i SMB crv Brambul. U 2017, grupa je bila odgovorna za DDoS napade pomoću Delta Charlie malvera.

Opus grupe upotpunjuju i malveri kao što su Destover, Wild Positron (Duuzer) i Hangman, koji sadrži sofisticirane mogućnosti – DDoS botnet, keylogger, RAT i brisanje podataka (wiper malver).

Izvor: The Hacker News