Совместный отчет о новой схеме хищения денег из банкоматов представили американские эксперты из US-CERT, Министерства внутренней безопасности и ФБР.
Техника FASTCash, применяемая киберпреступной группировкой Hidden Cobra (Lazarus и Guardians of Peace), применялась преступниками еще с 2016 года. С ее помощью они компрометируют банковские серверы и заставляют банкоматы выдавать деньги.
Ранее многие ИБ-эксперты высказывали мнение, что Hidden Cobra связана с правительством КНДР. Группировка известна своими атаками на крупные СМИ, финансовые организации, объекты критической инфраструктуры, аэрокосмическую промышленность и пр. Ее также считают причастной к атакам WannaCry, масштабному взлому Sony Pictures в 2014 году и атакам на банковскую систему SWIFT.
Исследователи изучили 10 образцов вредоносного ПО, связанного с атаками FASTCash, и обнаружили, что злоумышленники удаленно взломали принадлежащие банкам серверы переключения приложений (Switch application server, SAP). SAP представляет собой важный компонент инфраструктуры банкоматов и PoS-терминалов, подключающийся к ключевой банковской системе для валидации данных пользователя при переводе денег.
Хакерам из Hidden Cobra удалось взломать SAP в различных банках, где у них были открыты счета с нулевым балансом, и установить вредоносное ПО. Вредонос перехватывал запросы на осуществление транзакций, связанных с платежными картами злоумышленников, и отвечал фальшивым, но вполне обоснованным утвердительным ответом. При этом доступный баланс на подставных счетах не сверялся с банковскими системами, и банкоматы выдавали запрашиваемые суммы, даже не уведомляя банк о транзакции.
Вектор заражения SAP пока неизвестен. По мнению авторов отчета, злоумышленники могли использовать целенаправленный фишинг.
.png)