Lihat Cara Hacker Lazarus Mencuri Jutaan Dollar Dari ATM di Asia dan Afrika

Hacker Lazarus – Pada 2 Oktober 2018, peringatan dikeluarkan oleh US-CERT, Departemen Keamanan Dalam Negeri, Departemen Keuangan, dan FBI . Menurut peringatan baru ini, Hidden Cobra (nama kode pemerintah AS untuk hacker Lazarus) telah melakukan serangan “FASTCash“, mencuri uang dari Automated Teller Machines (ATM) dari bank-bank di Asia dan Afrika setidaknya sejak 2016.

Hacker Lazarus adalah kelompok serangan yang sangat aktif yang terlibat dalam kejahatan cyber dan spionase. Kelompok ini awalnya dikenal karena operasi spionase dan sejumlah serangan dengan target profil tinggi, termasuk serangan 2014 pada Sony Pictures. Baru-baru ini, hacker Lazarus juga terlibat dalam serangan yang bermotif keuangan, termasuk pencurian US $ 81 juta dari Bank Sentral Bangladesh dan ransomware WannaCry .

hacker-lazarus Lihat Cara Hacker Lazarus Mencuri Jutaan Dollar Dari ATM di Asia dan Afrika

Ilustrasi: Hacker Lazarus diduga dilakukan hacker dari Korea Utara

Menyusul laporan US-CERT, hasil penelitian Symantec menemukan komponen kunci yang digunakan dalam gelombang baru-baru ini dari serangan keuangan grup. Operasi tersebut, yang dikenal sebagai “FASTCash”, telah memungkinkan hacker Lazarus untuk menipu ATM tunai yang kosong. Untuk melakukan penarikan palsu, Lazarus pertama kali menyerang jaringan bank yang ditarget dan menyusupi server aplikasi switch yang menangani transaksi ATM.

Setelah server ini disusupi, malware yang sebelumnya tidak dikenal ( Trojan.Fastcash ) digunakan. Malware ini pada gilirannya memotong permintaan penarikan uang Lazarus palsu dan mengirimkan tanggapan persetujuan palsu, yang memungkinkan penyerang mencuri uang tunai dari ATM.

Menurut peringatan pemerintah AS, satu insiden pada tahun 2017 melihat uang tunai ditarik secara bersamaan dari ATM di lebih dari 30 negara yang berbeda. Dalam insiden besar lainnya pada tahun 2018, uang tunai diambil dari ATM di 23 negara terpisah. Sampai saat ini, operasi hacker Lazarus FASTCash diperkirakan telah mencuri puluhan juta dolar.

Cara-Kerja-lazarus-trojan-fastcash Lihat Cara Hacker Lazarus Mencuri Jutaan Dollar Dari ATM di Asia dan Afrika

Images Credit: Symantec.com

Bagaimana Cara Kerja Trojan FASTCash ?

Untuk mengizinkan penarikan tipuan mereka dari ATM, penyerang menyuntikkan Advanced Interaktif eXecutive (AIX) berbahaya yang dapat dieksekusi ke dalam proses yang berjalan dan sah pada server aplikasi switch dari jaringan transaksi keuangan, dalam hal ini jaringan yang menangani transaksi ATM. Executable yang berbahaya mengandung logika untuk membangun pesan-pesan ISO 8583 yang curang. ISO 8583 adalah standar untuk pesan transaksi keuangan. Tujuan dari eksekusi ini belum didokumentasikan sebelumnya. Sebelumnya diyakini bahwa penyerang menggunakan skrip untuk memanipulasi perangkat lunak yang sah di server untuk memungkinkan kegiatan penipuan.

Namun, analisis oleh Symantec telah menemukan bahwa eksekusi ini sebenarnya adalah malware, yang kemudian dinamakan Trojan.Fastcash . Trojan.Fastcash memiliki dua fungsi utama:

  1. Ini memonitor pesan yang masuk dan memotong permintaan transaksi penipuan yang dihasilkan penyerang untuk mencegah mereka mencapai aplikasi switch yang memproses transaksi.
  2. Ini berisi logika yang menghasilkan salah satu dari tiga tanggapan curang untuk permintaan transaksi penipuan.

Setelah terinstal di server, Trojan.Fastcash akan membaca semua lalu lintas jaringan yang masuk, pemindaian untuk pesan permintaan ISO 8583 yang masuk. Ini akan membaca Primary Account Number (PAN) pada semua pesan dan, jika menemukan ada yang berisi nomor PAN yang digunakan oleh penyerang, malware akan berusaha mengubah pesan-pesan ini. Bagaimana pesan diubah tergantung pada masing-masing organisasi korban. Ini kemudian akan mengirimkan pesan tanggapan palsu menyetujui permintaan penarikan palsu. Hasilnya adalah upaya untuk menarik uang melalui ATM oleh penyerang Lazarus akan disetujui.

Berikut adalah salah satu contoh logika respons yang digunakan Trojan.Fastcash untuk menghasilkan respons palsu. Sampel khusus ini memiliki logika untuk membuat satu dari tiga tanggapan palsu berdasarkan permintaan penyerang yang masuk:

Untuk Indikator Jenis Pesan == 200 (Transaksi ATM) dan Mode Titik Masuk Layanan dimulai dengan 90 (hanya Jalur Magnetik):   

Jika Kode Pemrosesan dimulai dengan 3 (Pertanyaan Saldo):

        Kode Respons = 00 (Disetujui)   

Jika tidak, jika Nomor Akun Utama masuk daftar hitam oleh Penyerang:       

        Kode Jawaban = 55 (PIN Tidak Valid)   

   Semua Kode Pemrosesan lainnya (dengan PAN yang tidak masuk daftar hitam):

        Kode Respons = 00 (Disetujui)

Dalam hal ini, para penyerang tampaknya telah membangun kemampuan untuk secara selektif menolak transaksi berdasarkan daftar hitam mereka sendiri dari nomor akun. Namun, kemampuan itu tidak diimplementasikan dalam contoh ini, dan cek untuk daftar hitam selalu mengembalikan “False”.

Symantec telah menemukan beberapa varian Trojan.Fastcash, masing-masing menggunakan logika tanggapan yang berbeda. Kami percaya bahwa setiap varian disesuaikan untuk jaringan pemrosesan transaksi tertentu dan dengan demikian memiliki logika respons yang disesuaikan.

Nomor PAN yang digunakan untuk melakukan serangan FASTCash berhubungan dengan akun nyata. Menurut laporan US-CERT, sebagian besar akun yang digunakan untuk memulai transaksi memiliki aktivitas akun minimal atau saldo nol. Bagaimana penyerang menguasai akun-akun ini masih belum jelas. Ada kemungkinan para penyerang membuka akun itu sendiri dan membuat permintaan penarikan dengan kartu yang dikeluarkan untuk akun tersebut. Kemungkinan lain adalah para penyerang menggunakan kartu yang dicuri untuk melakukan serangan.

Dalam semua serangan FASTCash yang dilaporkan hingga saat ini, para penyerang telah membahayakan server aplikasi perbankan yang menjalankan versi sistem operasi AIX yang tidak didukung, di luar akhir dari tanggal dukungan paket layanan mereka.

Siapa itu Hacker Lazarus?

Hacker Lazarus adalah kelompok yang sangat aktif yang terlibat dalam kejahatan cyber dan spionase. Lazarus awalnya dikenal karena keterlibatannya dalam operasi spionase dan sejumlah serangan menargetkan profil tinggi, termasuk serangan 2014 terhadap Sony Pictures yang melihat sejumlah besar informasi dicuri dan komputer dihapus oleh malware.

Dalam beberapa tahun terakhir, hacker Lazarus juga terlibat dalam serangan yang bermotif keuangan. Kelompok ini terkait dengan pencurian $ 81 juta dari bank sentral Bangladesh pada tahun 2016 , bersama dengan sejumlah perampokan bank lainnya.

Hacker Lazarus juga terkait dengan wabah wansCry ransomware pada Mei 2017. WannaCry menggabungkan eksploitasi “EternalBlue” yang bocor yang menggunakan dua kerentanan yang dikenal di Windows ( CVE-2017-0144  dan CVE-2017-0145 ) untuk mengubah ransomware menjadi worm, mampu menyebarkan dirinya ke komputer yang tidak di-patch di jaringan korban dan juga komputer rentan lainnya yang terhubung ke internet. Dalam beberapa jam setelah dirilis, WannaCry telah menginfeksi ratusan ribu komputer di seluruh dunia.

Ancaman menargetkan sektor keuangan

Gelombang serangan FASTCash baru-baru ini menunjukkan bahwa serangan yang dimotivasi secara finansial bukan hanya bunga yang lewat bagi kelompok hacker Lazarus dan sekarang dapat dianggap sebagai salah satu kegiatan intinya.

Seperti pada tahun 2016 serangkaian perampokan bank virtual, termasuk perampokan Bank Bangladesh, FASTCash menggambarkan bahwa hacker Lazarus memiliki pengetahuan mendalam tentang sistem perbankan dan protokol pemrosesan transaksi dan memiliki keahlian untuk memanfaatkan pengetahuan itu untuk mencuri uang dalam jumlah besar dari bank yang rentan. .

Singkatnya, hacker Lazarus terus menimbulkan ancaman serius bagi sektor keuangan dan organisasi keuangan harus mengambil semua langkah yang diperlukan untuk memastikan bahwa sistem pembayaran mereka sepenuhnya diperbarui dan aman.