Группировка Hidden Cobra заставила банкоматы «выплевывать» деньги
ИТ-Безопасность
Американские власти выпустили совместный отчет о вредоносной технике FASTCash.

Напомним, ИБ-эксперты считают Hidden Cobra связанной с правительством КНДР. Группировка известна своими атаками на крупные СМИ, финансовые организации, объекты критической инфраструктуры, аэрокосмическую промышленность и пр. Ее также считают причастной к атакам WannaCry, масштабному взлому Sony Pictures в 2014 году и атакам на банковскую систему SWIFT.

Исследователи изучили 10 образцов вредоносного ПО, связанного с атаками FASTCash, и обнаружили, что злоумышленники удаленно взломали принадлежащие банкам серверы переключения приложений (Switch application server, SAP). SAP представляет собой важный компонент инфраструктуры банкоматов и PoS-терминалов, подключающийся к ключевой банковской системе для валидации данных пользователя при переводе денег.

Хакерам из Hidden Cobra удалось взломать SAP в различных банках, где у них были открыты счета с нулевым балансом, и установить вредоносное ПО. Вредонос перехватывал запросы на осуществление транзакций, связанных с платежными картами злоумышленников, и отвечал фальшивым, но вполне обоснованным утвердительным ответом. При этом доступный баланс на подставных счетах не сверялся с банковскими системами, и банкоматы выдавали запрашиваемые суммы, даже не уведомляя банк о транзакции.