Специалисты Symantec разобрались в деталях атак группировки Lazarus на банкоматы по всему миру. Выяснилось, что для джекпоттинга киберпреступники использовали троян FASTCash, который внедрялся на серверы, контролирующие банкоматы, через уязвимости в системе AIX. Зловред перехватывает легитимный запрос на выдачу наличных и отправляет его на терминал, подконтрольный мошенникам, где их соучастники получают деньги.

Аналитики возлагают на Lazarus ответственность за десятки случаев джекпоттинга во всем мире. По информации ИБ-специалистов, в 2018 году группировка взломала банкоматы в 23 странах и причастна не менее чем к  30 аналогичным инцидентам в 2017-м.

Как пояснили эксперты, киберпреступники проникали на серверы в сети обработки транзакций, проводимых с использованием банкоматов, через бреши в устаревших версиях ОС AIX. После этого они внедряли вредоносный исполняемый код AIX в легитимный процесс на скомпрометированном сервере. Анализ показал, что этот код является троянской программой, способной мониторить входящие сообщения с целью перехвата мошеннических запросов до их передачи приложению-обработчику, а также генерировать и возвращать поддельное одобрение на выдачу наличных.

Зловред идентифицировал запросы от мулов преступной группировки по номерам банковских карт, через которые они авторизовывались в терминалах. По информации специалистов, мошенники использовали действительные аккаунты в целевом банке. На большинстве из них не было денег, а они сами были созданы недавно.

Эксперты еще выясняют, каким образом злоумышленники получали легитимные банковские карты для своих кампаний. Предположительно, взломщики воспользовались доступом к системам банков, чтобы открыть счета-однодневки. Специалисты отмечают, что обнаружили несколько версий FASTCash, адаптированных для атак на конкретные банки.

В прошлом году специалисты «Лаборатории Касперского» предупреждали о создании внутри Lazarus специального подразделения для атак на финансовый сектор и повышенном интересе группировки к ПО для SWIFT-транзакций. Слова экспертов подтвердили последовавшие атаки киберпреступников — следы Lazarus нашли после неудавшегося взлома тайваньского Far Eastern International Bank, а также в фишинговых документах, использовавшихся для нападения на корейскую биржу Bithumb.

Категории: Вредоносные программы, Главное, Уязвимости, Хакеры