Bankserver gehackt: Geldautomaten zahlen Betrügern Millionen aus

Das US-CERT hat eine technische Warnung vom Heimatschutzministerium, dem FBI und den Finanzbehörden der Vereinigten Staaten über eine neue Betrugsmasche einer erfolgreichen nordkoreanischen APT-Hacker-Bande, bekannt als „Hidden Cobra“, herausgegeben.

Es wird davon ausgegangen, dass „Hidden Cobra“, auch bekannt als „Lazarus Group and Guardians of Peace”, von der nordkoreanischen Regierung unterstützt wird. Die Bande hat bereits Angriffe gegen Medienorganisationen, Luft- und Raumfahrtunternehmen und kritischer Finanzinfrastruktur durchgeführt.

Die Gruppe wird Berichten zufolge mit dem „WannaCry“-Ransomware, welches im vergangenen Jahr Krankenhäuser und weltweit tätige Unternehmen erpresste, dem SWIFT-Banking Angriff in 2016 und dem Sony Pictures Hack in 2014 in Verbindung gebracht.

Nun haben das FBI, das Heimatschutzministerium und das Finanzministerium Details über eine neue Cyberattacke namens „FASTCash“ veröffentlicht, welche „Hidden Cobra“ seit mindestens 2016 benutzt, um Geldautomaten zum Auszahlen zu bringen.

FASTCash-Hack bringt Geldautomaten dazu, Geld auszuzahlen

Die Ermittler haben 10 Malware-Angriffe analysiert, welche mit der FASTCash Cyberattacke in Verbindung gebracht werden können. Dabei fanden sie heraus, dass die Betrüger die „Switch-Anwendungsserver“ beeinträchtigt haben, um Geldsummen auszuzahlen.

Der Switch-Anwendungsserver ist eine essentielle Komponente eines Geldautomaten und Point-of-Sale-Infrastrukturen (PoS), welche mit dem Kernbankensystem kommuniziert, um Bankdaten für eine angeforderte Transaktion zu überprüfen.

Immer wenn eine Bankkarte in einem Geldautomaten oder einem PoS-Kartenleser eingeführt wird, überprüft die Software im ISO 8583 Nachrichtenformat den Switch-Anwendungsserver, wie hoch der Kontostand ist und ob die Transaktion durchgeführt werden kann oder nicht.

„HIDDEN COBRA“ hat es jedoch geschafft, die Switch-Anwendungsserver mit Bankkonten und Bankkarten ohne Saldo auszutricksen.

Die auf den Switch-Anwendungsservern installierte Malware fängt die Transaktionsanfragen des Geldautomaten, welche mit den Bankkarten der Betrüger verknüpft sind, ab und sendet eine gefälschte Bestätigung, ohne dass das Guthaben auf den Bankkarten überprüft wurde. Mit diesem Verfahren lassen sich Geldautomaten austricksen, große Summen Bargeld auszuzahlen, ohne dass die Bank davon Wind bekommt.

„Nach Einschätzungen von Informanten haben “HIDDEN COBRA” eine zweistellige Millionensumme entwendet „, heißt es in dem Bericht.

„Bei einem Vorfall im Jahre 2017 ermöglichten Akteure von “HIDDEN COBRA” das simultane Abheben an Geldautomaten in über 30 verschiedenen Ländern. Bei einem erneuten Vorfall im Jahre 2018 waren Geldautomaten in 23 Ländern betroffen.“

“HIDDEN COBRA” verwendet diese Betrugsmasche überwiegend, um Banken in Afrika und Asien zu betrügen. Dennoch prüfen die Behörden der Vereinigten Staaten, ob die Vorfälle ebenfalls auf Banken in den USA gerichtet sind.

Wie Betrüger es schafften, Switch-Anwendungsserver von Banken zu gefährden

Obwohl der ursprüngliche Überträger der Erstinfektion für Banknetzwerke unbekannt ist, glauben die US-Behörden, dass die APT-Betrüger Spear-Phishing-E-Mails, welche bösartige Programme beinhalten, an Mitarbeiter verschiedener Banken versendet haben.

Nach Ausführung der Datei infiziert diese die Computer von Bankangestellten mit einer auf Windows basierenden Malware, sodass Hacker sich mit echten Zugangsdaten im Banknetzwerk bewegen können und eine Malware auf einen Anwendungsserver, welcher Zahlungen vermittelt, installieren.

Obwohl die meisten infizierten Switch-Anwendungsservern eine nicht unterstützte Version des Betriebssystems IBM Advanced Interactive eXecutive (AIX) ausführen, konnten die Ermittler nicht bestätigen, dass die Angreifer eine Sicherheitslücke im AIX-Betriebssystem ausnutzen.

Das US-CERT hat Banken dazu aufgerufen, eine Zwei-Faktor-Authentifizierung durchzuführen, bevor ein Benutzer auf den Switch-Anwendungsserver zugreifen kann und weitere, bewährte Verfahren zum Schutz des Netzwerkes zu nutzen.

Das US-CERT hat darüber hinaus eine herunterladbare Kopie eines IOC (indicators of compromise) bereitgestellt, um die Netzwerkverteidigung zu aktivieren, damit die Belastung durch bösartige Cyberattacken der „HIDDEN COBRA“ zu minimieren.

Im Mai 2018 hat das US-CERT des Weiteren eine Empfehlung veröffentlicht, in welcher Nutzer auf zwei verschiedene Malware hingewiesen wurden: Remote Access Trojan (RAT) namens Joanap und Server Message Block (SMB) namens Brambul, welche mit „HIDDEN COBRA“ in Verbindung gebracht werden.

Im letzten Jahr gaben das US-amerikanische Heimatschutzministerium und das FBI eine Warnung aus, in welcher eine Malware von „HIDDEN COBRA“, namens Delta Charlie, beschrieben wurde – Dabei handelt es sich um ein DDoS-Tool, von welchem sie glaubten, dass Nordkorea es für DDoS-Attacken gegen ihre Gegner benutzt.

Andere Malware, die in der Vergangenheit ebenfalls mit „HIDDEN COBRA“ in Verbindung gebracht wurden, sind Destover, Wild Positron or Duuzer und Hangman mit hochentwickelten Funktionen wie DDoS-Botnets, Keyloggern, Remote-Access-Tools (RATs) und Wiper-Malware.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.