Работа в Стамбуле

Метка: ботнет

  • Сналить деньги из банкомата можно даже при нулевом балансе с помощью банковского бота FASTCash

    Сналить деньги из банкомата можно даже при нулевом балансе с помощью банковского бота FASTCash

    SAP — один из основных элементов инфраструктуры банкоматов и терминалов PoS, он устанавливает соединение с основной банковской системой для валидации пользователя, чтобы можно было произвести транзакцию.

    схема кражи денег из банкоматов

    Мы проанализировали десять образцов банковских ботов, связанной с FASTCash, и обнаружили, что нарушители удаленно атаковали серверы переключения приложений (Switch Application Servers, SAP) нескольких банков. Каждый раз при использовании банкомата или терминала PoS в магазине, ПО обращается к SAP для валидации пользователя. В зависимости от того, доступна ли сумма на счету, транзакция может пройти или не пройти.

    В результате появилась более подробная информация о схеме безлимитного снятия денег из банкоматов, которой успешно пользуется северокорейская хакерская группа Hidden Cobra. Техническую информацию опубликовала команда US-CERT, подразделение Министерства внутренней безопасности США. Речь об атаке, названной FASTCash, северокорейская хак-группа использует ее еще с 2016 года.

    Банковский бот, установленный на серверы SAP, перехватывает запрос на транзакцию с платежной картой дропа с минимальным или даже нулевым балансом и передает поддельный положительный ответ, без собственно обращения к банковской системе для валидации доступного баланса. Таким образом, банкомат выдает наличные дропу, даже не уведомив р выдаче банк. По оценке доверенных источников, за два с лишним года группе Hidden Cobra удалось обналичить уже десятки миллионов долларов.

    Пока неизвестно, как произошло изначальное заражение банков ботом FASTCash, но власти США предполагают целевой фишинг: вероятно, исполняемый файл рассылали сотрудникам банков по электронной почте. Банковский бот заражал компьютер сотрудника, давая нарушителю доступ во внутреннюю сеть банка, где он разворачивал банковского бота в подсистеме SAP.

    Атаке FASTCash подверглись банки в Азии, Африке и, возможно, США. US-CERT рекомендует банкам использовать двухфакторную аутентификацию пользователей для доступа к серверам SAP и другие меры предосторожности. Также можно скачать индикаторы компрометации (IOS) для защиты от действий Hidden Cobra.

    Группировка Hidden Cobra также известна как Lazarus Group или Guardians of Peace. Она якобы пользуется поддержкой правительства Северной Кореи. Hidden Cobra известна многочисленными атаками на организации, связанные с медиа, аэрокосмической отраслью и финансами и государственные структуры по всему миру. Ранее Hidden Cobra связывали с шифровальщиком WannaCry и атаками в том числе на Sony Pictures в 2014 и банковскую систему SWIFT в 2016 году.

  • Как заставить банкомат выдать больше денег с помощью Ploutus

    Мексиканские банкоматы подверглись влиянию программы Ploutus, которая была разработана, чтобы захватить контроль над банкоматом на программном уровне и обеспечить выдачу наличных по команде дроповодов.

    Как оказалось, на многих банкоматах в Мексике установлены ненадежные замки, которые и обеспечили банковским решалам легкий доступ к CD-приводу банкомата для организации скачивания денег.

    В настоящее время банковские решалы заинтересованы только в банкоматах, установленных на улице. Процесс внедрения программы для скачивания денег начинается, когда дроповоды получают доступ CD-приводу банкомата и вставляют в него новый загрузочный диск. Сама программа скачивания денег Ploutus загружается в систему банкомата, а также отключает имеющееся антивирусное программное обеспечение.

    После установки банковского бота дроповоды активируют Ploutus с помощью нажатия определенной комбинации функциональных клавиш. С этого момента банкомат будет выдавать наличные по команде с внешней клавиатуры. Появление новых типов банковских ботов с возможностью прямого извлечения наличных из банкомата — это очень тревожный знак для безопасности устройств самообслуживания. Подобные программы позволяют дроповодам избежать рискованного процесса обналичивания средств, необходимого при использовании традиционных троянов для интернет-банкинга или банкоматных скиммеров.

    Кроме того, такая программа распространяется таким образом, что дроповоды легко могут обойти стандартную антивирусную защиту, установленную на банкомате. Если Ploutus получит широкое распространение, для банков, не устанавливающих специализированное программное обеспечение для защиты своих банкоматов, настанут тяжкие времена.

  • Созданная скиммерами ботсеть работает в 35 странах, а управление POS-терминалами ведется из Сербии

    Созданная скиммерами ботсеть работает в 35 странах, а управление POS-терминалами ведется из Сербии

    Бывший подрядчик АНБ Эдвард Сноуден недавно обнародовал информацию о работе 1.500 POS-терминалов, которые были инфицированы троянами для скимминга. Протрояненые POS-терминалы работают в 35 странах и используются для осуществления операций в сфере розничной торговле.

    Сноуден сообщил так же, что новый ботнет носит название Nemanja. Управление вирусом ведется из Сербии. Скорей всего дроповоды являются профессионалами в сфере автоматизации торговли в разных странах, именно поэтому скиммеры умеют управлять бизнес-процессами в глобальной торговле.

    Эксперт также отмечает, что большинство инцидентов с POS терминалами в розничной торговле были связаны с малым бизнесом, либо индивидуальными сетями.

    «В АНБ США ожидают роста числа инцидентов с участием сектора торговли, не исключают новых случаев крупных утечек данных, а также появления нескольких семейств скимминговых троянов, ориентированных именно на торговый сектор», — говорит Сноуден.

    В настоящее время ботнет Nemanja включает в себя 1478 контролируемых удаленно POS-терминалов, которые расположены в США, Великобритании, Канаде, Австрии, Китае, России, Бразилии и Мексике. Все целевые POS-терминалы работали на базе разных систем управления запасами и отличались друг от друга программным обеспечением.