Контакты
Подписка
МЕНЮ
Контакты
Подписка

Группировка Hidden Cobra заставила банкоматы выдавать деньги

Группировка Hidden Cobra заставила банкоматы выдавать деньги

Группировка Hidden Cobra заставила банкоматы выдавать деньги


04.10.2018

Группировка Hidden Cobra заставила банкоматы выдавать деньги

US-CERT, Министерство внутренней безопасности США, Министерство финансов США и ФБР опубликовали совместный отчет о новой схеме хищения денег из банкоматов. Речь идет о технике FASTCash, применяемой киберпреступной группировкой Hidden Cobra (также известной как Lazarus и Guardians of Peace) еще с 2016 года. С ее помощью злоумышленники компрометируют банковские серверы и заставляют банкоматы выдавать деньги.

 Напомним, ИБ-эксперты считают Hidden Cobra связанной с правительством КНДР. Группировка известна своими атаками на крупные СМИ, финансовые организации, объекты критической инфраструктуры, аэрокосмическую промышленность и пр. Ее также считают причастной к атакам WannaCry, масштабному взлому Sony Pictures в 2014 году и атакам на банковскую систему SWIFT.

 Исследователи изучили 10 образцов вредоносного ПО, связанного с атаками FASTCash, и обнаружили, что злоумышленники удаленно взломали принадлежащие банкам серверы переключения приложений (Switch application server, SAP). SAP представляет собой важный компонент инфраструктуры банкоматов и PoS-терминалов, подключающийся к ключевой банковской системе для валидации данных пользователя при переводе денег.

 Хакерам из Hidden Cobra удалось взломать SAP в различных банках, где у них были открыты счета с нулевым балансом, и установить вредоносное ПО. Вредонос перехватывал запросы на осуществление транзакций, связанных с платежными картами злоумышленников, и отвечал фальшивым, но вполне обоснованным утвердительным ответом. При этом доступный баланс на подставных счетах не сверялся с банковскими системами, и банкоматы выдавали запрашиваемые суммы, даже не уведомляя банк о транзакции.

 Вектор заражения SAP пока неизвестен. По мнению авторов отчета, злоумышленники могли использовать целенаправленный фишинг.

 

Securitylab