Vào ngày 2 tháng 10 năm 2018, một cảnh báo được phát hành bởi US-CERT, Bộ An ninh Nội địa, Bộ Tài chính và FBI. Theo thông báo mới này, Hidden Cobra (tên mã của chính phủ Mỹ cho Lazarus) đã tiến hành các cuộc tấn công “FASTCash”, ăn cắp tiền từ Máy rút tiền tự động (ATM) từ các ngân hàng ở châu Á và châu Phi kể từ ít nhất năm 2016.

Lazarus là một nhóm tấn công rất tích cực tham gia vào cả tội phạm mạng và gián điệp. Nhóm này ban đầu được biết đến với các hoạt động gián điệp của nó và một số cuộc tấn công gây rối cấp cao, bao gồm cả cuộc tấn công năm 2014 trên Sony Pictures. Gần đây, Lazarus cũng đã tham gia vào các cuộc tấn công tài chính, bao gồm một vụ trộm cắp 81 triệu đô la Mỹ từ Ngân hàng Trung ương Bangladesh và tiền chuộc WannaCry.

Theo báo cáo của US-CERT, nghiên cứu của Symantec đã phát hiện ra thành phần chính được sử dụng trong làn sóng tấn công tài chính gần đây của nhóm. Các hoạt động, được gọi là "FASTCash", đã cho phép Lazarus đến các máy ATM tiền mặt trống rỗng. Để thực hiện việc rút tiền gian lận, Lazarus lần đầu tiên vi phạm các mạng của các ngân hàng được nhắm mục tiêu và thỏa hiệp các máy chủ ứng dụng chuyển mạch xử lý các giao dịch ATM.

Một khi các máy chủ này bị xâm phạm, phần mềm độc hại chưa biết trước đây (Trojan.Fastcash) được triển khai. Phần mềm độc hại này lần lượt chặn các yêu cầu rút tiền Lazarus lừa đảo và gửi phản hồi phê duyệt giả mạo, cho phép kẻ tấn công lấy cắp tiền mặt từ máy ATM.

Theo cảnh báo của chính phủ Hoa Kỳ, một sự cố trong năm 2017 đã thấy rút tiền mặt đồng thời từ các máy ATM tại hơn 30 quốc gia khác nhau. Trong một sự cố lớn khác vào năm 2018, tiền mặt được lấy từ các máy ATM ở 23 quốc gia riêng biệt. Cho đến nay, hoạt động FASTCash của Lazarus được ước tính đã cướp đi hàng chục triệu đô la.

Cách tấn công FASTCash hoạt động – Chi tiết

Để cho phép rút tiền giả mạo từ máy ATM, kẻ tấn công sẽ tiêm một phần mềm độc hại Advanced Interactive eXecutive (AIX) vào một quy trình hoạt động hợp pháp trên máy chủ ứng dụng chuyển đổi của mạng giao dịch tài chính. . Tệp thực thi độc hại chứa logic để tạo các thông báo ISO 8583 lừa đảo. ISO 8583 là tiêu chuẩn cho việc nhắn tin giao dịch tài chính. Mục đích của tệp thực thi này chưa được ghi lại trước đó. Trước đây người ta tin rằng những kẻ tấn công đã sử dụng các tập lệnh để thao túng phần mềm hợp pháp trên máy chủ để kích hoạt hoạt động gian lận.

Tuy nhiên, phân tích của Symantec đã phát hiện ra rằng thực thi này là trong thực tế phần mềm độc hại, mà chúng tôi đã đặt tên Trojan.Fastcash. Trojan.Fastcash có hai chức năng chính:

  1. Nó giám sát các tin nhắn đến và chặn các yêu cầu giao dịch gian lận của kẻ tấn công tạo ra để ngăn chặn chúng tiếp cận ứng dụng chuyển đổi xử lý các giao dịch.
  2. Nó chứa logic tạo ra một trong ba câu trả lời gian lận cho các yêu cầu giao dịch gian lận.

Sau khi cài đặt trên máy chủ, Trojan.Fastcash sẽ đọc tất cả lưu lượng mạng đến, quét cho các thông báo yêu cầu ISO 8583 đến. Nó sẽ đọc số tài khoản chính (PAN) trên tất cả các tin nhắn và, nếu nó tìm thấy bất kỳ số nào chứa số PAN được kẻ tấn công sử dụng, phần mềm độc hại sẽ cố gắng sửa đổi các thông báo này. Cách thông điệp được sửa đổi phụ thuộc vào từng tổ chức nạn nhân. Sau đó nó sẽ truyền tải một thông báo phản hồi giả mạo phê duyệt các yêu cầu rút tiền gian lận. Kết quả là nỗ lực rút tiền qua máy ATM của những kẻ tấn công Lazarus sẽ được chấp thuận.

Đây là một ví dụ về logic phản hồi mà Trojan.Fastcash sử dụng để tạo ra các phản hồi giả. Mẫu đặc biệt này có logic để xây dựng một trong ba phản ứng giả dựa trên yêu cầu của kẻ tấn công đến:

Đối với chỉ báo loại tin nhắn == 200 (Giao dịch ATM) và Chế độ nhập điểm dịch vụ bắt đầu bằng 90 (Chỉ dải từ):

Nếu Mã xử lý bắt đầu bằng 3 (Số dư yêu cầu):

Mã phản hồi = 00 (Được chấp thuận)

Nếu không, nếu Số tài khoản chính bị liệt vào danh sách đen bởi những kẻ tấn công:

Mã phản hồi = 55 (Mã PIN không hợp lệ)

Tất cả các Mã xử lý khác (với PAN không thuộc danh sách đen):

Mã phản hồi = 00 (Được chấp thuận)

Trong trường hợp này, những kẻ tấn công dường như đã xây dựng trong khả năng từ chối các giao dịch có chọn lọc dựa trên danh sách đen của riêng họ về số tài khoản. Tuy nhiên, khả năng không được thực hiện trong mẫu này, và việc kiểm tra danh sách đen luôn trả về “Sai”.

Symantec đã tìm thấy một số biến thể khác nhau của Trojan.Fastcash, mỗi biến thể sử dụng logic phản hồi khác nhau. Chúng tôi tin rằng mỗi biến thể được điều chỉnh cho một mạng xử lý giao dịch cụ thể và do đó có logic phản hồi được điều chỉnh riêng.

Số PAN được sử dụng để thực hiện các cuộc tấn công FASTCash liên quan đến các tài khoản thực. Theo báo cáo US-CERT, hầu hết các tài khoản được sử dụng để bắt đầu các giao dịch có hoạt động tài khoản tối thiểu hoặc số dư bằng không. Làm thế nào những kẻ tấn công giành quyền kiểm soát những tài khoản này vẫn chưa rõ ràng. Có thể những kẻ tấn công đang mở tài khoản và yêu cầu rút tiền bằng thẻ được phát hành cho các tài khoản đó. Một khả năng khác là những kẻ tấn công đang sử dụng thẻ bị đánh cắp để thực hiện các cuộc tấn công.

Trong tất cả các cuộc tấn công FASTCash được báo cáo cho đến nay, những kẻ tấn công đã xâm phạm các máy chủ ứng dụng ngân hàng đang chạy các phiên bản không được hỗ trợ của hệ điều hành AIX, vượt quá thời hạn hỗ trợ gói dịch vụ của họ.

Ai là Lazarus?

Lazarus là một nhóm rất tích cực tham gia vào cả tội phạm mạng và gián điệp. Lazarus ban đầu được biết đến với sự tham gia của nó trong các hoạt động gián điệp và một số vụ tấn công phá hoại cao cấp, bao gồm cả cuộc tấn công vào Sony Pictures năm 2014 đã nhìn thấy một lượng lớn thông tin bị đánh cắp và máy tính bị xóa bởi phần mềm độc hại

Trong những năm gần đây, Lazarus cũng đã tham gia vào các cuộc tấn công tài chính. Nhóm này liên quan đến vụ trộm cắp 81 triệu đô la từ ngân hàng trung ương Bangladesh năm 2016, cùng với một số vụ cướp ngân hàng khác.

Lazarus cũng liên quan đến vụ dịch ransomware WannaCry vào tháng 5 năm 2017. WannaCry đã kết hợp khai thác “EternalBlue” bị rò rỉ sử dụng hai lỗ hổng đã biết trong Windows (CVE-2017-0144 và CVE-2017-0145) để biến phần mềm ransomware thành sâu, có khả năng lây lan chính nó đến bất kỳ máy tính chưa được vá trên mạng của nạn nhân và cũng với các máy tính dễ bị tổn thương khác kết nối với internet. Trong vòng vài giờ sau khi phát hành, WannaCry đã lây nhiễm hàng trăm nghìn máy tính trên toàn thế giới.

Mối đe dọa đang diễn ra đối với khu vực tài chính

Làn sóng tấn công FASTCash gần đây cho thấy rằng các cuộc tấn công tài chính không đơn giản là một lợi ích cho nhóm Lazarus và bây giờ có thể được coi là một trong những hoạt động cốt lõi của nó.

Cùng với loạt năm 2016 của ngân hàng ảo, bao gồm cả ngân hàng Bangladesh, FASTCash minh họa rằng Lazarus sở hữu kiến ​​thức chuyên sâu về hệ thống ngân hàng và giao thức xử lý giao dịch và có chuyên môn để tận dụng kiến ​​thức đó để lấy cắp số tiền lớn từ các ngân hàng dễ bị tổn thương.

Tóm lại, Lazarus tiếp tục đặt ra một mối đe dọa nghiêm trọng cho ngành tài chính và các tổ chức nên thực hiện tất cả các bước cần thiết để đảm bảo rằng hệ thống thanh toán của họ được cập nhật và bảo mật đầy đủ.

Bảo vệ

Symantec có những phát hiện sau đây để bảo vệ khách hàng chống lại các cuộc tấn công của Lazarus FASTCash:

Giảm nhẹ

Các tổ chức phải đảm bảo rằng các hệ điều hành và tất cả các phần mềm khác đều được cập nhật. Cập nhật phần mềm sẽ thường xuyên bao gồm các bản vá lỗi cho các lỗ hổng bảo mật mới được phát hiện có thể bị khai thác bởi những kẻ tấn công. Trong tất cả các cuộc tấn công FASTCash được báo cáo cho đến nay, những kẻ tấn công đã làm tổn hại đến các máy chủ ứng dụng ngân hàng đang chạy các phiên bản không được hỗ trợ của hệ điều hành AIX, vượt quá thời hạn hỗ trợ gói dịch vụ của họ.

Các chỉ số của Thỏa hiệp

D465637518024262C063F4A82D799A4E40FF3381014972F24EA18BC23C3B27EE (Trojan.Fastcash Injector)

CA9AB48D293CC84092E8DB8F0CA99CB155B30C61D32A1DA7CD3687DE454FE86C (Trojan.Fastcash DLL)

10AC312C8DD02E417DD24D53C99525C29D74DCBC84730351AD7A4E0A4B1A0EBA (Trojan.Fastcash DLL)

3A5BA44F140821849DE2D82D5A137C3BB5A736130DDDB86B296D94E6B421594C (Trojan.Fastcash DLL)


nguon http://blog.extremehacking.org/blog/2018/11/09/fastcash-lazarus-group-emptying-millions-atms/

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây