WnsbSec
Cobra Tersembunyi, juga dikenal sebagai Lazarus Group dan Guardians of Peace, diyakini didukung oleh pemerintah Korea Utara dan sebelumnya telah meluncurkan serangan terhadap sejumlah organisasi media, kedirgantaraan, sektor infrastruktur keuangan dan kritis di seluruh dunia.
Kelompok itu juga dilaporkan terkait dengan ancaman ransomware WannaCry yang tahun lalu menutup rumah sakit dan bisnis besar di seluruh dunia, serangan SWIFT Banking pada tahun 2016, serta hack Sony Pictures. pada tahun 2014.
Sekarang, FBI, Departemen Keamanan Dalam Negeri (DHS), dan Departemen Keuangan telah merilis rincian tentang serangan cyber baru, dijuluki " FASTCash ," bahwa Hidden Cobra telah menggunakan setidaknya sejak 2016 untuk mencairkan ATM dengan mengorbankan server bank.
FASTCash Hack Fools ATM ke Spitting Out Cash
Para peneliti menganalisis 10 sampel malware yang terkait dengan serangan cyber FASTCash dan menemukan bahwa penyerang mengkompromikan pembayaran "switch server aplikasi" di dalam bank yang ditargetkan untuk memfasilitasi transaksi penipuan.Switch server aplikasi adalah komponen penting dari ATM dan infrastruktur Point-of-Sale yang berkomunikasi dengan sistem perbankan inti untuk memvalidasi rincian rekening bank pengguna untuk transaksi yang diminta.
Kapan pun Anda menggunakan kartu pembayaran Anda di ATM atau mesin PoS di toko pengecer, perangkat lunak tersebut meminta (dalam format pesan ISO 8583) server aplikasi pengalihan bank untuk memvalidasi transaksi — terima atau tolak, tergantung pada jumlah yang tersedia di bank Anda rekening.
Namun, penyerang Hidden Cobra berhasil berkompromi dengan server aplikasi switch di berbagai bank, di mana mereka memiliki akun (dan kartu pembayaran mereka) dengan aktivitas minimal atau saldo nol.
Malware yang diinstal pada server aplikasi switch yang disusupi kemudian mencegat permintaan transaksi yang terkait dengan kartu pembayaran penyerang dan merespons dengan respons afirmatif yang tampak palsu namun sah tanpa benar-benar memvalidasi saldo yang tersedia dengan sistem inti perbankan, akhirnya menipu ATM untuk memuntahkan besar jumlah uang tunai tanpa memberi tahu bank.
"Menurut estimasi mitra tepercaya, aktor HIDDEN COBRA telah mencuri puluhan juta dolar," kata laporan itu.
"Dalam satu insiden pada tahun 2017, aktor HIDDEN COBRA memungkinkan uang tunai untuk ditarik secara bersamaan dari ATM yang terletak di lebih dari 30 negara yang berbeda. Dalam insiden lain pada tahun 2018, aktor HIDDEN COBRA memungkinkan uang tunai untuk ditarik secara bersamaan dari ATM di 23 negara yang berbeda."
Para pelaku ancaman Cobra Tersembunyi menggunakan skema FASTCash untuk menargetkan bank-bank di Afrika dan Asia, meskipun pihak berwenang AS masih menyelidiki insiden FASTCash untuk mengkonfirmasi apakah serangan itu menargetkan bank-bank di Amerika Serikat.
Bagaimana Penyerang Berhasil Mengompromikan Server Aplikasi Switch Bank
Meskipun vektor infeksi awal yang digunakan untuk berkompromi jaringan Bank tidak diketahui, pihak berwenang AS percaya bahwa aktor ancaman APT menggunakan email spear-phishing, yang mengandung Windows jahat yang dapat dieksekusi, terhadap karyawan di berbagai bank.
Setelah dibuka, komputer karyawan bank yang terinfeksi yang terinfeksi dengan malware berbasis Windows, memungkinkan peretas berpindah secara lateral melalui jaringan bank menggunakan kredensial yang sah dan menyebarkan malware ke server aplikasi saklar pembayaran.
Meskipun sebagian besar server aplikasi switch yang disusupi ditemukan menjalankan versi sistem operasi IBM Advanced Interactive eXecutive (AIX) yang tidak didukung, para penyelidik tidak menemukan bukti bahwa penyerang mengeksploitasi kerentanan apa pun dalam sistem operasi AIX.
US-CERT merekomendasikan bank untuk membuat otentikasi dua faktor wajib sebelum pengguna dapat mengakses server aplikasi switch, dan menggunakan praktik terbaik untuk melindungi jaringan mereka.
US-CERT juga menyediakan salinan IOC yang dapat diunduh (indikator kompromi), untuk membantu Anda memblokir mereka dan memungkinkan pertahanan jaringan untuk mengurangi paparan terhadap aktivitas maya yang berbahaya oleh kelompok hacking Hidden Cobra.
Pada bulan Mei 2018, US-CERT juga menerbitkan saran yang memperingatkan pengguna dari dua malware yang berbeda —Remote Access Trojan (RAT) yang dikenal sebagaiBlok Pesan Joanap dan Server (SMB) yang disebut Brambul — tertaut ke Cobra Tersembunyi.
Tahun lalu, DHS dan FBI juga mengeluarkan peringatan yang menggambarkan malware Cobra Tersembunyi Delta Charlie - alat DDoS yang mereka yakini Korea Utara gunakan untuk meluncurkan serangan penolakan-of-service terdistribusi terhadap targetnya.
Malware lain yang terkait dengan Hidden Cobra di masa lalu termasuk Destover, Wild Positron atau Duuzer, dan Hangman dengan kemampuan canggih, seperti botnet DDoS , keyloggers, alat akses jarak jauh (TIK), dan malware penghapus .
Ada yang ingin Anda sampaikan tentang artikel ini? Berikan komentar di bawah ini atau bagikan dengan kami di Facebook , Twitter , atau Grup LinkedIn kami .
0 Response to "Server BANK Di Hack Untuk Memanipulasi Mesin ATM"
Post a Comment
Berkomentarlah yang baik dan benar. Omonganmu mencerminkan sifatmu