En ny sikkerhedsrapport afslører, at APT38 hackere har startet en ny verdensomspændende angreb mod pengeinstitutter, som et resultat af denne millioner af dollars er blevet kapret af finansielle institutioner. Det anslås, at den kriminelle kollektiv har stjålet over en milliard dollars i deres sidste kampagner.
Apt38 Hackere seneste angreb Kampagne Nu Marks Hits $1.1 Mia Stjålet fra Mål
Den kriminelle kollektivt kendt som APT38 hackere har endnu engang lanceret en global angreb mod pengeinstitutter. Det mest bekymrende faktum er, at efter at det blev startet eksperterne vurderer, at de var i stand til at stjæle mindst hundrede millioner dollars. Indtil videre den genererede indtægter fra de ondsindede operatører i alt i løbet af $1.1 milliarder i overensstemmelse med de frigivne rapporter.
De kriminelle er spekuleret at være fra Nordkorea men dette er ikke sikker. Flere forskellige hacking kollektiver synes at være rettet fra land. Den udførte analyse viser, at de udførte kampagner ligner de andre grupper fra Korea. Lige siden de første kampagner, der startede i 2014 hackere viste sig at målrette primært finansielle organisationer fra lande over hele verden: Rusland, Vietnam, Filippinerne, Malaysia, Bangladesh, Polen, Tyrkiet, Brasilien, Uruguay, Chile, Mexico og USA.
Et af de særlige kendetegn for angrebene er, at APT38 hackere er næsten hver gang cyber kup i naturen. De sigter ikke at sabotere de mål, men snarere til at udføre komplekse spionage. De hacking værktøjer og manerer, at de er afhængige af, er en sofistikeret handlingsplan og en meget dyb netværk indtrængen.
Under forskning i deres planlægning og operationer opdagede analytikerne, at medlemmer af den kollektive have er aktive på de underjordiske hacking fora. En af de stillinger, der daterer sig tilbage til 2015 viser, at så har de været på udkig efter exploits. Det betyder, at de kriminelle er aktivt søger efter måder at trænge ind i målet systemer uden at blive opdaget.
Den typiske indtrængen følger dette angreb mønster:
- Information Gathering - De APT38 hackere vil forske så meget information om målet organisationer. Dette er ikke kun begrænset til deres interne struktur, men også mekanismerne i deres systemer og hvordan de håndterer SWIFT transaktioner.
- Intrusion - På dette fase selve hacking vil finde sted. De kriminelle vil afdække sårbarheder ved hjælp af de nyeste bedrifter, zero-day angreb og andre sofistikerede metoder.
- Intern Rekognoscering - Når målet maskine er blevet kompromitteret de kriminelle vil skanne netværket og installere malware på den udpegede måde - at indsamle så mange oplysninger om netværks- og systemkonfigurationer som muligt. På dette tidspunkt stealth beskyttelse anvendes også - indtrængen kode vil omgå sikkerhedssystemerne.
- SWIFT servere Spionage - Hackerne vil etablere overvågning af netværk værktøjer, der vil spionere på SWIFT tjenester, der anvendes af selskabet. De har også vist sig at implementere både aktive og passive bagdøre.
- pengeoverførsel - Når SWIFT systemer er blevet kompromitteret den implanterede ondsindet kode kan behandle svigagtige SWIFT transaktioner og også ændre operationer historie og logfiler. Den kaprede penge vil være forbundet til særlige konti, der tilhører de kriminelle. Flere transaktioner er gjort for at ikke skabe opmærksomhed til de operationer.
- beviser destruktion - Denne fase er gjort for at sikkert slette logfiler og alle spor af infektioner. Analysen viser, at virus motor udsender og udfører disk-aftørring software, som forstyrrer retsmedicinske forsøg. På dette tidspunkt diverse ransomware virus er indsat til netværket for at ødelægge de resterende beviser og forsinke undersøgelsen SWIFT-tjenester.
De APT38 hackere vil sandsynligvis fortsætte deres angreb kampagner, da de har vist sig at være meget indbringende. For mere information kan du læse dybdegående rapport.