Хакеры научились воровать наличные из банкоматов на Linux
Хакеры из Корейской Народно-Демократической Республики (КНДР) запустили новую кибератаку на финансовые системы. На этот раз они использовали вирус FASTCash, который работает на Linux. Как только серверы банка получают поддельное сообщение о подтверждении транзакции, деньги выдаются. Таким образом, хакеры могут снимать с банкоматов случайные суммы.
Критическая уязвимость
Северокорейские хакеры используют новый Linux-вариант малвари FASTCash для заражения ИТ-систем коммутации платежей финансовых учреждений и несанкционированного снятия наличных из банкоматов. Об этом в середине октября 2024 г. сообщило Darkreading.
FASTCash - это вредоносное программное обеспечение (ПО) для переключения платежей, впервые задокументированное правительством США в октябре 2018 г. ПО использовалось северокорейскими хакерами в банкоматной схеме, нацеленной на банки в Африке и Азии. С тех пор в самом методе ИТ-атаке произошли два значительных изменения. Первое - это возможность использовать схему против банков, размещающих свои приложения-коммутаторы на Windows Server, а второе - расширение кампании на межбанковские платежные процессоры.
Предыдущие версии вредоносной программы были нацелены на ИТ-системы под управлением Microsoft Windows и IBM AIX, однако последние находки указывают на то, что она предназначена для проникновения в системы Linux. Прокаченный Linux-вариант малвари представлен в виде разделяемой библиотеки, которая внедряется в запущенный процесс на сервере с помощью системного вызова ptrace и подключается его к сетевым функциям.
Вредоносная программа модифицирует транзакционные сообщения ISO 8583, используемые при операциях с дебетовыми и кредитными картами, чтобы инициировать несанкционированное снятие средств. Судя по информации новостных агентств, чаще всего взламываются банкоматы в Турции. Вирус манипулирует отклоненными транзакциями из-за недостатка средств для пользователей, а затем одобряет их для снятия денег в турецкой валюте в размере от 12 тыс. до 30 тыс. лир, это примерно $350 - $875.
Атакуемые коммутаторы являются посредниками, которые обеспечивают связь между банкоматами, PoS-терминалами и центральными ИТ-системами банков, маршрутизируя запросы и ответы на транзакции. Малварь перехватывает и манипулирует транзакционными сообщениями ISO8583. Формат ISO 8583, он понятен всем платежным ИТ-системам. Это старый формат 1987 г. Молодым платежным системам, таким как «Мир», было бы удобнее использовать более современный ISO 20022. Однако прелесть ISO 8583 - в его универсальности и широкой распространенности. После того как такое сообщение, содержащее коды одобрения (DE38, DE39) и сумму (DE54), попадает обратно в ИТ-систему банка, коммерческая кредитно-финансовая организация одобряет транзакцию, и денежный мул, действующий совместно с хакерами, поучает наличные в банкомате.
Как отметили исследователи по информационной безопасности (ИБ), данная техника инъекции процессов, используемая для перехвата сообщений о транзакциях, должна быть отмечена любым коммерческим Endpoint Detection & Response (EDR) или открытым Linux-агентом с соответствующей конфигурацией для обнаружения использования системного вызова ptrace. EDR – это новая платформа, способная обнаруживать сложные и целевые кибератаки на рабочие станции, сервера, любые компьютерные устройства (конечные точки) и оперативно на них реагировать, отмечают исследователи в отчете.
ИБ-исследователи также рекомендуют Агентства кибербезопасности и защиты инфраструктуры (CISA) по внедрению требований к чипам и PIN-кодам для дебетовых карт, требованию и проверке кодов аутентификации сообщений в ответных сообщениях на финансовые запросы. Осуществлению проверок криптограммами авторизационных ответов для транзакций с чипами и PIN-кодами для предотвращения попыток эксплуатации данной уязвимости.
Взлом банкоматов
Банкомат - это устройство, позволяющее клиентам совершать банковские операции, не заходя в банк. С помощью банкомата пользователь может снять или внести наличные, получить доступ к своему банковскому счету, оплатить счета, сменить PIN-код, обновить личную информацию и т.д. Поскольку банкомат - это все, что связано с наличными, он стал приоритетной целью для хакеров и грабителей. В последние годы хакеры нашли множество способов взлома банкоматов. Хакеры не ограничиваются физическими атаками, такими как захват карт, скимминг и т.д., но и ищут новые способы взлома ПО банкоматов.
Большинство банкоматов работают под управлением Windows XP и 7, то ремонт отдельных банкоматов - довольно сложный процесс. Поскольку Windows XP больше не поддерживается компанией Microsoft, многие производители банкоматов используют решения по безопасности для снижения угроз, связанных с ИТ-атаками на банкоматы, таких как кибератаки на основе вредоносного ПО и уязвимости на уровне операционной системы (ОС). Некоторые решения безопасности позволяют использовать банкоматы в довольно ограниченной среде, с ограниченным набором услуг и процедур. Двумя из таких решений являются Mcafee Solidcore и Phoenix Vista ATM.
McAfee Application Control блокирует несанкционированные исполняемые файлы в ОС банкомата. Позволяет запускать только те приложения, процессы и службы, которые входят в список разрешенных. Контролирует изменения (модификации) программного кода и конфигураций с помощью монитора целостности. Защищает код приложения и конфигурацию от несанкционированных изменений с помощью механизма контроля изменений. Приложение банкомата и связанные с ним файлы сначала вносятся в список разрешенных, а затем выполняются.
Phoenix Vista ATM - продукт компании Phoenix Interactive Design Inc, приобретенной Diebold. Он интегрирован в приложение, которым оснащены банкоматы. Продукт работает, проверяя целостность файлов, где любая модификация или нарушение критического файла, связанного с приложением, приведет к выключению системы. Это не позволяет любой неавторизованной программе изменять конкретный файл приложения. С развитием технологий хакеры находят все больше способов взлома банкоматов. В борьбе за безопасность банкоматов и сохранение доверия клиентов банки должны быть на шаг впереди преступников, разрабатывая новейшие решения по безопасности и максимально сокращая радиус ИТ-атаки.