Hur hackare lyckades stjäla $13,5 miljoner i Kosmos bankrån

0
117

Noll

Tidigare denna månad kom rapporter som tydde på att Kosmos Bank, Indiens äldsta på 112 år gammal, hade blivit utsatt för en cyberattack som lämnade institutionen miljoner på fickan.

Attacken enligt uppgift ägde rum i två etapper varit 10 augusti – 13. Enligt Hindustan Times, malware användes på bankens UTTAGSAUTOMAT-server för att stjäla kreditkortsuppgifter av kunder, tillsammans med SWIFT-koder som krävs för transaktioner.

Den första vågen deltar stöld av ungefär $11,5 miljoner i transaktioner från flera länder. I den andra vågen, på samma dag, nära $2 miljoner kronor drogs in via betalkort transaktioner över hela Indien.

Medlen överfördes senare till Hong Kong genom bedrägliga SNABBA transaktioner.

Cosmos Bank ordförande Milind Grönkål sade cyberattack var en global ansträngning som cyberattackers drivs från “22 nationer.” Banken pekade finger mot Kanada som ursprunget för många av de bedrägliga transaktioner.

Rapporter tyder också på att hotet aktörer misslyckades i sitt första försök att äventyra bankens system, men ingen varning utfärdades för att sätta banken på sin vakt mot misstänkt aktivitet.

Inga pengar har debiterats på kunders konton.

På måndag, säkerhet forskare från Securonix Hot Forskning team gav oss en teknisk inblick i hur rånet kan ha kunnat äga rum och påpekade att Nordkorea kan vara att skylla.

Se även: ATM jackpotting når OSS shores | ATM hacka blir en prioriterad fråga i IBM cybersäkerhet faciliteter Du kan köpa Bitcoin ATM skadlig kod för $25 000 i den Mörka Webben

Efter en så kallade “patient zero” kompromiss av banksystemet, eventuellt genom en spear phishing kampanj eller otillåten tillgång till en fjärrkontroll gränssnitt, forskare säger att “flera riktade malware infektioner” användes för att äventyra bankens interna och ATM-infrastruktur.

Det skadliga programmet var används i kombination med en infekterad centrala ATM eller switch POS. När den första etappen av attacken genomfördes, malware sannolikt brutit sambandet mellan centrala system och backend core banking system (CBS) för att förhindra att transaktionen kontroll.

TechRepublic: Jackpotting cyberattack träffar OSS, krafter Uttagsautomater för att spotta ut pengar för hackare

Securonix sa att efter detta sammanhang var äventyras, central skadliga switch används för att manipulera med målet saldon för att möjliggöra obehöriga uttag i BANKOMAT.

Totalt Securonix säger 2849 inhemska och 12.000 internationella transaktioner ägde rum med hjälp av 450 klonade betalkort i 28 länder i hela heist.

CNET: Glöm betalkort. Detta är hur du använder din telefon på ATM

“Angriparna skulle sannolikt kunna skicka falska Transaktion Svar (TRE) meddelanden i svar till Transaktionen Begäran (TULLKVOT) meddelanden från kortinnehavare och terminaler,” forskarna säger. “Som ett resultat, krävs ISO 8583-meddelanden (en internationell standard för system för utbyte av elektroniska transaktioner som initieras av kortinnehavare med betalkort) aldrig överlämnas till backend/CBS från ATM/POS byta lösning som var nedsatt, vilket gjorde att den skadliga uttag och påverkat bedrägeri upptäckt kapacitet på bank-backend.”

I den andra vågen, som $2 miljoner stals, är det möjligt hot grupp flyttas i sidled över Kosmos bankens SWIFT-miljö. Forskarna säger att tre bedrägliga transaktioner var sedan skickas till en trader konto på Hang Seng Bank i Hong Kong.

Attacken har hänförts till Lazarus, som är ett statligt sponsrade hot grupp som tros vara ansluten till nordkoreas styrande parti. Gruppen har tidigare varit kopplade till förödande attacker såsom WannaCry ransomware utbrott och attacker på finansiella institutioner i Indonesien och Sydkorea.

Se även: AppleJeus: macOS-användare riktade i nya Lazarus attacker

“I händelse av Kosmos Bank attack, detta var inte den typiska basic card-not-present (CNP), jackpotting, eller blackboxing bedrägeri,” Securonix sagt. “Attacken var en mer avancerad, väl planerad, och är en starkt samordnad verksamhet som fokuserar på bankens infrastruktur, ett effektivt sätt att kringgå de tre största lager av försvar per Interpol Bank/BANKOMAT attack mildra vägledning.”

Tidigare och relaterade täckning

Iranska hackare mål 70 universitet över hela världen för att stjäla forskning Spyware fast SpyFone lämnar kundens data, inspelningar utsatt online Hackare hjälpa sig själva till uppgifter som hör till 2 miljoner T-Mobile-kunder

Relaterade Ämnen:

Säkerhet-TV

Hantering Av Data

CXO

Datacenter

0