El 2 de octubre de 2018, se emitió una alerta por parte de US-CERT, el Departamento de Seguridad Nacional, el Departamento de Hacienda y el FBI. Según esta nueva alerta, Hidden Cobra (el nombre en clave del gobierno de Estados Unidos para Lazarus) ha estado llevando a cabo ataques "FASTCash", robando dinero de cajeros automáticos (ATM) de bancos en Asia y África desde al menos 2016.
En un incidente en 2017 se retiró efectivo de forma simultánea de cajeros automáticos en más de 30 países diferentes. En otro incidente importante en 2018, se tomó efectivo de cajeros automáticos en 23 países diferentes.Hasta la fecha, se estima que la operación FASTCash de Lazarus ha robado decenas de millones de dólares.
El interés más reciente de los hackers vinculados al Gobierno norcoreano son las instituciones financieras. Desde finales del 2016, el grupo de piratas informáticos conocido como Lazarus ha llevado a cabo una operación denominada FASTCash, que está dirigida a robar dinero de cajeros automáticos. Se estima que a la fecha ha conseguido el hurto de decenas de millones de dólares en África y Asia.
El Equipo de Respuesta ante Emergencias Informáticas (US-CERT), que es una organización dentro del Departamento de Seguridad Nacional (DHS) encargada de analizar y reducir las amenazas cibernéticas, así como el Departamento de Tesorería y el FBI emitieron una alerta sobre sus actividades el 2 de octubre pasado. A raíz de ello, Symantec comenzó una investigación sobre la ola de ataques financieros perpetrada por el grupo, cuyos hallazgos han sido compartidos este jueves.
Según reporta Symantec, Hidden Cobra (Cobra oculta), el nombre en clave que usa el gobierno de los Estados Unidos para referirse a Lazarus, una vez retiró efectivo de manera simultánea de cajeros automáticos en 30 países diferentes en el 2017 y, a principios de este año, realizó otro ataque similar en 23 países a la vez.
Cómo funciona FastCash
La empresa también indicó que ya han sido reparadas las vulnerabilidades explotadas por los piratas informáticos para perpetrar los ataques de FASTCash que han afectado a los servidores que ejecutan versiones no compatibles de su sistema operativo AIX (Advanced Interactive eXecutive) hasta el momento.
Para permitir sus retiros fraudulentos de cajeros automáticos, los atacantes inyectan un ejecutable malintencionado Advanced Interactive eXecutive (AIX) en un proceso legítimo en ejecución en el servidor de aplicaciones del switch de una red de transacciones financieras, en este caso una red que maneja transacciones en cajeros automáticos.
A principios de octubre pasado, la firma de cibeseguridad FireEye informó que otra célula de Lazarus llamada APT38 ha estado activa desde al menos el 2014 en más de 16 organizaciones financieras en 11 países, incluyendo México, Chile, Brasil, Uruguay y Estados Unidos.
A través de un malware, lleva a cabo transacciones falsas dentro de la Sociedad para las Comunicaciones Interbancarias y Financieras Mundiales (SWIFT, por sus siglas en inglés), con lo que ha robado más de 100 millones de dólares a entidades financieras en todo el mundo.
Una vez instalado en el servidor, Trojan.Fastcash leerá todo el tráfico de la red entrante, buscando los mensajes de solicitud ISO 8583 entrantes. Leerá el Número de cuenta principal (PAN) en todos los mensajes y, si encuentra alguno que contenga un número de PAN utilizado por los atacantes, el malware intentará modificar estos mensajes.
Symantec ha encontrado varias variantes diferentes de Trojan.Fastcash, cada una de las cuales utiliza una lógica de respuesta diferente. Creemos que cada variante se adapta a una red de procesamiento de transacciones en particular y, por lo tanto, tiene su propia lógica de respuesta personalizada.
Los números PAN utilizados para llevar a cabo los ataques FASTCash se relacionan con cuentas reales. Según el informe de US-CERT, la mayoría de las cuentas utilizadas para iniciar las transacciones tenían una actividad mínima en la cuenta o cero saldos
Acerca de Lazarus
El grupo Lazaruse s un grupo muy activo involucrado tanto en delitos cibernéticos como en espionaje. Ha sido vinculado con el hackeo a Sony Pictures en el 2014, el robo de 81 millones de dólares al Banco Central de Bangladesh en 2016 y el malware Wanna Cry. El Bitcoin también ha estado recientemente en la mira de estos piratas informáticos.
Fuente:
https://hipertextual.com/2018/11/lazarus-corea-norte-cajeros/amp
No hay comentarios:
Publicar un comentario