Группировка Lazarus использовала FASTCash для взлома банкоматов

09 ноября 2018 г., пятница

Киберпреступники использовали бреши в операционной системе AIX, чтобы внедрить на серверы банка троян.

Специалисты Symantec разобрались в деталях атак группировки Lazarus на банкоматы по всему миру. Выяснилось, что для джекпоттинга киберпреступники использовали троян FASTCash, который внедрялся на серверы, контролирующие банкоматы, через уязвимости в системе AIX. Зловред перехватывает легитимный запрос на выдачу наличных и отправляет его на терминал, подконтрольный мошенникам, где их соучастники получают деньги.

Аналитики возлагают на Lazarus ответственность за десятки случаев джекпоттинга во всем мире. По информации ИБ-специалистов, в 2018 году группировка взломала банкоматы в 23 странах и причастна не менее чем к 30 аналогичным инцидентам в 2017-м.

Как пояснили эксперты, киберпреступники проникали на сервер финансового учреждения через бреши в устаревших версиях ОС AIX. Злоумышленники внедряли исполняемый файл вредоносной программы в легитимный процесс, который отвечал за обработку запросов на транзакции со стороны банкоматов. Троян сканировал все входящие обращения по протоколу ISO 8583 в ожидании операции, инициированной мошенниками. После получения нужной команды программа возвращала терминалу одобрение на выдачу наличных денег.

Зловред идентифицировал запросы от мулов преступной группировки по номерам банковских карт, через которые они авторизовывались в терминалах. По информации специалистов, мошенники использовали действительные аккаунты в целевом банке. На большинстве из них не было денег, а они сами были созданы недавно.

Эксперты еще выясняют, каким образом злоумышленники получали легитимные банковские карты для своих кампаний. Предположительно, взломщики воспользовались доступом к системам банков, чтобы открыть счета-однодневки. Специалисты отмечают, что обнаружили несколько версий FASTCash, адаптированных для атак на конкретные банки.

В прошлом году специалисты «Лаборатории Касперского» предупреждали о создании внутри Lazarus специального подразделения для атак на финансовый сектор и повышенном интересе группировки к ПО для SWIFT-транзакций. Слова экспертов подтвердили последовавшие атаки киберпреступников — следы Lazarus нашли после неудавшегося взлома тайваньского Far Eastern International Bank, а также в фишинговых документах, использовавшихся для нападения на корейскую биржу Bithumb.

Threatpost