Раскрыты подробности о трояне, заставлявшем банкоматы выдавать деньги

Вернуться к Blog

Раскрыты подробности о трояне, заставлявшем банкоматы выдавать деньги

Специалисты из Symantec рассказали о трояне, используемом группировкой Lazarus для ограбления банкоматов.

Исследователи компании Symantec обнаружили вредоносное ПО FastCash Trojan, используемое APT-группой Lazarus для атак на банкоматы. Группировка использует вредонос как минимум с 2016 года для похищения денег из банкоматов в азиатских и африканских странах. Сама Lazarus активна как минимум с 2009-го или даже с 2007 года, однако ее активность заметно усилилась в 2014-2015 годах. Эксперты в области ИБ связывают группировку с правительством КНДР и отмечают сложность используемых ею вредоносных инструментов собственной разработки. Lazarus приписывают такие нашумевшие атаки, как атаки WannaCry, взлом SWIFT и масштабная кибератака на Sony Pictures.

Как ранее сообщал SecurityLab, в начале октября US-CERT, Министерство внутренней безопасности США, Министерство финансов США и ФБР опубликовали совместный отчет об используемой Lazarus новой схеме хищения денег из банкоматов, получившей название FASTCash. Вслед за публикацией отчета эксперты Symantec раскрыли подробности о самом вредоносе, используемом для того, чтобы заставить банкоматы несанкционированно выдавать деньги.

Как пояснили исследователи, сначала преступники взламывали сети нужного банка, а затем компрометировали серверы SAP, обрабатывающие осуществляемые через банкомат транзакции. На взломанные серверы они устанавливали ранее неизвестное ПО, детектируемое Symantec как Trojan.Fastcash. Вредонос перехватывал отправляемые злоумышленниками поддельные запросы на выдачу денег и в ответ отправлял подтверждение, позволяя преступникам снимать деньги.

Вредоносный код был специально разработан для внедрения в легитимный процесс на сервере приложений, работающем под управлением операционной системы AIX от IBM. Как обнаружили исследователи, все атакованные Lazarus серверы SAP работали под управлением неподдерживаемых версий этой ОС.

Злоумышленники внедряли вредоносный исполняемый файл Advanced Interactive eXecutive (Trojan.Fastcash) в сети, обрабатывающие проводимые через банкомат транзакции. Вредонос в свою очередь подделывал сообщения ISO 8583 (стандарт для обмена сообщениями при осуществлении финансовых транзакций).

Троян сканировал входящий трафик в поисках сообщений ISO 8583, содержащих запрос. При обнаружении используемого преступниками номера банковской карты (Primary Account Number, PAN) вредонос модифицировал сообщение. В зависимости от атакуемой организации вредонос генерировал соответствующее сообщение-ответ с подтверждением мошеннической транзакции, и преступники снимали деньги.

Поделиться этим постом

Вернуться к Blog