US-CERT, Министерство внутренней безопасности США, Министерство финансов США и ФБР опубликовали совместный отчет о новой схеме хищения денег из банкоматов. Речь идет о технике FASTCash, применяемой киберпреступной группировкой Hidden Cobra (также известной как Lazarus и Guardians of Peace) еще с 2016 года. С ее помощью злоумышленники компрометируют банковские серверы и заставляют банкоматы выдавать деньги.

Напомним, ИБ-эксперты считают Hidden Cobra связанной с правительством КНДР. Группировка известна своими атаками на крупные СМИ, финансовые организации, объекты критической инфраструктуры, аэрокосмическую промышленность и пр. Ее также считают причастной к атакам WannaCry, масштабному взлому Sony Pictures в 2014 году и атакам на банковскую систему SWIFT.

Исследователи изучили 10 образцов вредоносного ПО, связанного с атаками FASTCash, и обнаружили, что злоумышленники удаленно взломали принадлежащие банкам серверы переключения приложений (Switch application server, SAP). SAP представляет собой важный компонент инфраструктуры банкоматов и PoS-терминалов, подключающийся к ключевой банковской системе для валидации данных пользователя при переводе денег.

Хакерам из Hidden Cobra удалось взломать SAP в различных банках, где у них были открыты счета с нулевым балансом, и установить вредоносное ПО. Вредонос перехватывал запросы на осуществление транзакций, связанных с платежными картами злоумышленников, и отвечал фальшивым, но вполне обоснованным утвердительным ответом. При этом доступный баланс на подставных счетах не сверялся с банковскими системами, и банкоматы выдавали запрашиваемые суммы, даже не уведомляя банк о транзакции.

Вектор заражения SAP пока неизвестен. По мнению авторов отчета, злоумышленники могли использовать целенаправленный фишинг.

Источник: securitylab.ru