De Fastcash regeling is een gevaarlijke ATM cash-out regeling die wordt gebruikt door de Lazarus hackers groep. Deze criminele collectief is zeer productief bij de lancering van geavanceerde aanval campagnes tegen high-profile doelen. Ons artikel somt hun nieuwste aanvallen die geld onttrekt aan geldautomaten.
De Lazarus Hackers achter de Lopende Fastcash Scheme Attacks
Het centrum US-CERT heeft een gezamenlijk advies met DHS gepubliceerd, De FBI en het ministerie van Financiën over de wijdverbreide schendingen van de Fastcash regeling waarbij criminelen mogelijk maakt om cash-out geldautomaten. Dit hacken groep staat bekend voor het uitvoeren van high-profile aanvallen met behulp van complexe code - op maat gemaakte instrumenten die speciaal zijn gemaakt voor de doelstellingen. Het ondergaan onderzoek blijkt dat ze hebben misbruikt de Fastcash techniek sinds ten minste 2016 tegen banking doelen.
Security experts onderzocht 10 monsters malware bevatten code Fastcash. Ze zijn ontworpen om de SWIFT-servers die transacties te verwerken dringen en de berichten te manipuleren. Als gevolg van dit het gedrag van de geldautomaten zal worden gewijzigd. De analyse laat zien dat de Lazarus hackers vaak gelijktijdig onttrokken middelen van machines in 23 verschillende landen.De reden waarom de SWIFT-servers worden gemanipuleerd is dat ze valideren van de bankgegevens van de beoogde gebruikers. Manipulaties van deze gegevens kan leiden tot de terugtrekking van hun fondsen.
De Fastcash techniek wordt ingezet om de applicatie servers via scripts die gebruik maken van kwetsbaarheden. Zodra de inbraken worden gedaan van de kwaadaardige code te onderscheppen en te antwoorden op de financiële berichten die vanuit de ATM-machines en ambachtelijke zijn eigen antwoorden. De reacties zullen de bestaande normen en structuur volgen. Dit betekent dat de hackers een gevorderde kennis van de manier waarop de protocollen en standaarden worden verwerkt.
Een van de redenen waarom de aanvallen succesvol zijn, is dat de gecompromitteerde applicatieservers draaiden niet-ondersteunde versies van besturingssystemen, specifiek IBM AIX (Geavanceerde Interactive Executive) dat is zo populair UNIX keuze voor zakelijke klanten. Uit de analyse blijkt ook dat de meeste van de rekeningen die worden gebruikt om de transacties te initiëren had een minimale activiteit of nul saldi. Tot dusver is de bevestigde gevallen van deze techniek zijn banken in Afrika en Azië. USA regering experts onderzoeken gemelde incidenten te zien of ze zijn gekoppeld aan FASCASH en de Lazarus hackers.
De bron van de infecties worden verondersteld te zijn scam berichten die via e-mailberichten of internetsites. De doelstellingen werden berichten verzonden of doorgestuurd naar sites die zijn ontworpen om als legitieme bronnen verschijnen. Een uitvoerbaar bestand is de primaire payload die leidt naar de malware-infectie.
Gezien de complexiteit van deze zaak en de geavanceerde kennis van de Lazarus hackers we verwachten dat andere campagnes zijn aanstaande.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: