Xakep #305. Многошаговые SQL-инъекции
Специалисты компании Symantec изучили инструмент FASTCash, которым группа Lazarus пользовалась для компрометации банкоматов, заставляя те выдавать наличные (так называемый «джекпотинг»).
В начале октября 2018 эксперты US-CERT, Министерства внутренней безопасности США, Министерства финансов США и ФБР опубликовали предупреждение, согласно которому группировка Lazarus использовала малварь FASTCash для опустошения банкоматов в странах Азии и Африки, и занималась этим как минимум с 2016 года. По данным специалистов, в 2017 году наличные были сняты из банкоматов одновременно в 30 странах, а в 2018 году был зафиксирован еще один инцидент, во время которого представители Lazarus опустошили банкоматы еще в 23 странах мира. Суммарно в ходе этих операций были похищены десятки миллионов долларов.
Аналитики Symantec изучили ранее неизвестную малварь более детально и представили развернутый отчет о ее работе.
Ранее считалось, что злоумышленники использовали скрипты для манипулирования легитимным ПО финансовых учреждений. Но исследователи пишут, что, как оказалось, преступники внедряли малварь FASTCash в легитимный процесс Advanced Interactive eXecutive (AIX) в сети, контролирующей транзакции банкоматов. Причем во всех случаях компрометация удавалась исключительно из-за того, что финансовые учреждения использовали старые версии AIX, без должных обновлений. В итоге малварь получала возможность создавать поддельные сообщения ISO 8583 (стандарт для сообщений, отправляемых при работе с картами для финансовых операций).
У FASTCash было две основных задачи:
- мониторинг входящих сообщений и перехват запросов транзакций, сгенерированных атакующими, до того как запрос дойдет до switch application, обрабатывающего транзакции;
- генерация одного из трех возможных ответов на такие запросы.
В итоге, когда малварь обнаруживала среди сообщений запрос ISO 8583, содержащий PAN-номер атакующих (Primary Account Number), она пыталась соответствующим образом модифицировать это сообщение. Какие именно изменения будут произведены, зависело от конкретной орагнизации-жертвы. Но исход всегда был одинаковым: FASTCash подтверждала транзакцию, создавая фальшивый ответ, что позволяло «мулам» Lazarus снимать деньги в банкоматах по всему миру.
При этом до сих пор неясно, откуда хакеры брали легитимные PAN-номера. Исследователи Symantec поясняют, что для подобных атак злоумышленники использовали легитимные банковские счета, как правило, с нулевым балансом. Так как вредонос перехватывал запросы на снятие средств, на счету вовсе не обязательно должны были действительно находиться деньги. Предполагается, что для создания таких аккаунтов-пустышек группа Lazarus могла использовать имеющийся доступ к сетям банков, полученный заранее? при помощи таргетированных фишинговых операций.
Хакерская группировка Lazarus (она же Hidden Cobra и BlueNoroff) получила широкую известность после кибератаки на Sony Pictures Entertainment в 2014 году. После этого специалисты по информационной безопасности детально изучили и связали эту группу с Северной Кореей и целым рядом инцидентов. Так, в 2016 году хакеры едва не совершили «киберограбление века»: злоумышленники успешно похитили 81 млн долларов у Центробанка Бангладеш и только чудом не сумели украсть почти миллиард. Кроме того, группу связывают с эпидемией Wannacry, атаками на банки в Польше и Мексике, фишинговыми атаками на подрядчиков Министерства обороны США, недавними кампаниями против онлайновых казино в странах Латинской Америки.