Den FASTCASH Ordningen er en farlig ATM cash-out ordning, der bliver brugt af Lazarus hackere gruppe. Denne kriminelle kollektiv er frodig på at lancere avancerede angreb kampagner mod højt profilerede mål. Vores artikel opsummerer deres seneste angreb som udvinder penge fra hæveautomater.
Den Lazarus Hackere står bag Igangværende FASTCASH Scheme angreb
Den amerikansk-CERT centret har udgivet en fælles rådgivende med DHS, FBI og finansministeriet om udbredt misbrug af FASTCASH ordning, som gør det muligt for kriminelle at cash-out hæveautomater. Dette hacking gruppe er kendt for at udføre højt profilerede angreb ved hjælp af komplekse kode - skræddersyede værktøjer, der er skabt specielt til de mål,. Den undergået forskning viser, at de har været misbruger FASTCASH teknik, da i det mindste 2016 mod bank-mål.
Sikkerhedseksperter undersøgt 10 prøver af malware indeholdende FASTCASH kode. De er udtænkt til at trænge de SWIFT-servere, der behandler transaktioner og manipulere de budskaber. Som et resultat af dette vil blive ændret adfærd hæveautomater. Analysen viser, at Lazarus hackere har mulighed for samtidig trukket tilbage midler fra maskiner placeret i 23 forskellige lande.Grunden til, at SWIFT servere er manipuleret, er, at de validere oplysninger om målgruppen de bankkonto. Manipulationer af disse data kan føre til tilbagetrækning af deres midler.
Den FASTCASH teknik er udsendt til de applikationsservere via scripts, der udnytter sårbarheder. Når indtrængen er færdig den skadelige kode vil opfange og besvare de finansielle beskeder, der kommer ind fra hæveautomater og håndværk sine egne svar. Svarene vil følge de etablerede normer og struktur. Det betyder, at hackere har avanceret viden om, hvordan de protokoller og standarder behandles.
En af grundene til, at angrebene har succes, er, at den kompromitterede applikationsservere kørte ikke-understøttede versioner af operativsystemer, specifikt Aix (Avanceret Interactive Executive) der er lige så populær UNIX valg for virksomhedens klienter. Analysen viser også, at de fleste af de konti, der bruges til at indlede transaktionerne havde en minimal aktivitet eller nul saldi. Hidtil de bekræftede tilfælde af denne teknik er banker i Afrika og Asien. USA regeringseksperter undersøger rapporterede hændelser at se, om de er knyttet til FASCASH og Lazarus hackere.
Kilden til infektioner menes at være scam beskeder kommer ind gennem e-mails eller internetsider. Målene blev sendt beskeder eller omdirigeret til websteder, der er designet til at fremstå som legitime kilder. En eksekverbar fil er den primære nyttelast, som fører til malware-infektion.
I betragtning af kompleksiteten af denne sag og den avancerede viden om Lazarus hackere vi forventer, at andre kampagner er forestående.