Les serveurs des banques hackés pour tromper les distributeurs et leur faire sortir des millions en cash

L’US-CERT a sorti une alerte technique commune au DHS, au FBI et au Département du Trésor, prévenant de l’utilisation d’une nouvelle tactique sur les distributeurs, menée par le très actif APT nord coréen du groupe de hackers connus sous le nom de Hidden Cobra.

Hidden Cobra, aussi appelé Lazarus Group et Guardians of Peace, est présumé soutenu par le gouvernement nord coréen et a précédemment lancé des attaques contre un grand nombre d’organisations du monde des médias, dans l’aérospatiale, dans la finance et dans d’autres secteurs avec des infrastructures sensibles à travers le monde.

L’année dernière, le groupe a été associé à la menace ransomware WannaCry, qui avait paralysé des hôpitaux et de grandes entreprises dans le monde entier, ainsi qu’à l’attaque contre Swift Banking en 2016 et l’attaque de 2014 qui visait Sony Pictures.

Aujourd’hui, le FBI, le département de la Sécurité Intérieure (DHS) et le département du Trésor ont publié des détails à propos d’une nouvelle cyber attaque, nommée « FASTCash », que le groupe Hidden Cobra utilise au moins depuis 2016 pour extorquer de l’argent de distributeurs en compromettant les serveurs de la banque.

FASTCash trompe les distributeurs pour qu’ils délivrent de l’argent

Les inspecteurs ont analysé 10 échantillons de malware associés aux cyber-attaques FASTCash et ont découvert que les attaquants avaient compromis à distance le paiement du « changement de serveurs d’application » dans les banques ciblées pour faciliter les transactions frauduleuses.

Le commutateur de serveurs d’application est un composant essentiel des distributeurs et des infrastructures de points de vente qui communiquent avec le système central de la banque pour valider les détails du compte en banque des utilisateurs pour une transaction donnée.

Lorsque vous utilisez votre carte bleue dans un distributeur ou sur un terminal de paiement électronique dans un magasin, le logiciel demande (sous des formats de messages ISO 8583) au commutateur de serveurs d’application de la banque de valider la transaction –de l’accepter ou de la refuser, selon le montant disponible sur votre compte en banque.

Néanmoins, les attaquants du groupe Hidden Cobra ont réussi à compromettre le changement de serveurs d’application dans différentes banques, là où ils avaient des comptes (et leurs cartes de paiement) avec une activité minimum ou un solde à zéro

Le malware installé sur le commutateur de serveurs d’application compromis intercepte alors la requête de la transaction associée avec les cartes de paiement des attaquants et répond avec une fausse, mais semblant légitime, acceptation sans valider leurs soldes disponibles avec les systèmes centraux des banques, et trompant ainsi les distributeurs pour qu’ils délivrent une grande quantité de liquidités sans même que la banque en soit informée

« Selon l’estimation d’un de nos proches partenaires, les acteurs d’Hidden Cobra ont volé des dizaines de millions de dollars » affirme le communiqué.

« Sur un incident en 2017, les acteurs d’Hidden Cobra ont activé le malware pour que du liquide soit retiré simultanément sur des distributeurs localisés dans 30 pays différents. Un autre incident en 2018, les acteurs d’Hidden Cobra ont activé le malware pour que du liquide soit retiré simultanément sur des distributeurs dans 23 pays différents. »

Les acteurs de menace d’Hidden Cobra utilisent la méthode FASTCash pour cibler des banques en Afrique et en Asie, bien que les autorités américaines continuent d’enquêter sur les incidents FASTCash pour confirmer si des banques ont été ciblées aux Etats-Unis.

Comment les attaquants ont réussi à compromettre le commutateur de serveurs d’application des banques

Bien que le vecteur d’infection initial utilisé pour compromettre les réseaux bancaires soit inconnu, les autorités américaines pensent que les acteurs de menace APT utilisaient des emails de spear-phishing (harponnage), contenant des exécutables Windows malveillants, contre les employés dans différentes banques.

Une fois ouvert, l’exécutable infectait les ordinateurs des employés de la banque en utilisant le malware basé sur Windows, permettant aux attaquants de se déplacer dans le réseau de la banque en utilisant des identifiants légitimes et de déployer le malware sur le commutateur de serveurs d’application du paiement.

Bien que la plupart des commutateurs de serveurs d’applications compromis n’exécutaient que des versions de systèmes d’exploitation IBM Advanced Interactive eXecutive (AIX) non supportés, les enquêteurs n’ont trouvé aucune preuve que les attaquants aient exploité une quelconque vulnérabilité sur le système d’exploitation AIX.

L’US-CERT recommande aux banques de créer des mandats d’authentification à deux facteurs avant qu’un quelconque utilisateur puisse avoir accès au commutateur de serveurs d’application, et d’utiliser de meilleures pratiques pour protéger leurs réseaux.

L’US-CERT a aussi fourni une copie téléchargeable des IOCS (indicateurs de compromission), pour vous aider à les bloquer et à activer les défenses réseau pour réduire l’exposition à toute cyber activité malveillante du groupe de pirates Hidden Cobra.

En mai 2018, l’US-CERT a aussi publié une alerte pour prévenir les utilisateurs de l’existence de deux malwares différents – Remote Access Trojan (RAT), cheval de Troie connu sous le nom Joanap et le ver Server Message Block (SMB) nommé Brambul, les deux étant reliés à Hidden Cobra.

L’année dernière, le DHS et le FBI ont aussi publié une alerte décrivant le malware d’Hidden Cobra Delta Charlie – un outil de déni de service que ces autorités estiment avoir été utilisé pour lancer des attaques de déni de service contre ses cibles.

Dans le passé, d’autres malwares ont été liés à Hidden Cobra : Destover, Wild Positron ou Duuzer, et Hangman avec des capacités avancées, comme des botnets DDoS, des enregistreurs de frappe, des outils d’accès à distance (RATs), et des malwares d’effacement.