US-CERT แจ้งเตือนแคมเปญโจมตี FASTCash มุ่งโจมตี ATM จากกลุ่ม HIDDEN COBRA (Lazarus Group)

สรุปย่อ

วันที่ 2 ตุลาคม 2018 US-CERT ได้ออกประกาศแจ้งเตือนแคมเปญการโจมตีใหม่จากกลุ่ม HIDDEN COBRA หรือกลุ่ม Lazarus Group จากเกาหลีเหนือ แคมเปญดังกล่าวถูกตั้งชื่อว่า FASTCash เป็นการมุ่งโจมตีเพื่อทำการนำเงินออกจากเครื่อง ATM โดยหน่วยงานต่างๆ ของรัฐบาลสหรัฐฯ ได้แก่ กระทรวงความมั่นคงแห่งมาตุภูมิ กระทรวงการคลังสหรัฐฯ และสำนักงานสอบสวนกลาง (FBI) ได้ร่วมกันระบุมัลแวร์และ indicators of compromise (IOCs) ที่ถูกใช้ในแคมเปญ FASTCash ดังกล่าว และได้ระบุ IOCs ไว้ในประกาศแจ้งเตือน ซึ่ง FBI มีความมั่นใจอย่างมากว่ากลุ่ม HIDDEN COBRA กำลังใช้ IOCs เหล่านั้นเพื่อฝังตัวเข้าไปในระบบเน็ตเวิร์คของเหยื่อและโจมตีระบบเน็ตเวิร์คอยู่ในขณะนี้

รายละเอียด

กลุ่ม HIDDEN COBRA ที่เป็นที่รู้จักในชื่อ Lazarus Group และ Guardians of Peace เป็นกลุ่มที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ กลุ่ม HIDDEN COBRA เป็นต้นเหตุของการปล่อย WannaCry ransomware ในปี 2017 และการโจมตีบริษัท Sony Pictures ในปี 2014

US-CERT กล่าวว่ากลุ่ม HIDDEN COBRA ได้ใช้แคมเปญ FASTCash ในการโจมตีธนาคารในทวีปแอฟริกาและเอเชียมาตั้งแต่ปี 2016 โดยในปี 2017 HIDDEN COBRA ได้โจมตีเพื่อถอนเงินจาก ATM กว่า 30 ประเทศ และในปี 2018 HIDDEN COBRA ได้โจมตีเพื่อถอนเงินจาก ATM แบบเดียวกันไปกว่า 23 ประเทศ จากการคาดการกลุ่ม HIDDEN COBRA ได้เงินไปแล้วกว่าสิบล้านดอลลาร์สหรัฐฯ และในเวลาที่ออกประกาศฉบับนี้ (2 ตุลาคม 2018) ทางการสหรัฐฯยังไม่พบการโจมตี FASTCash ในประเทศสหรัฐอเมริกา

FASTCash เป็นการโจมตีจากระยะไกลโดยมุ่งโจมตีเพื่อยึดครอง payment switch application server ภายในธนาคารเพื่อทำธุรกรรมปลอม ทางการสหรัฐประเมินว่า HIDDEN COBRA จะใช้ FASTCash โจมตีระบบการชำระเงินรายย่อย (Retail Payment Systems) ถัดไปจากการโจมตีธนาคาร

วิธีการโจมตีของ HIDDEN COBRA จะเริ่มจากการยึด switch application server และส่งคำสั่งที่เหมือนคำสั่งปกติทั่วไปเพื่อตอบกลับคำสั่งร้องขอต่างๆ ด้วยข้อความตอบรับปลอม ขณะนี้ยังไม่ทราบวิธีที่กลุ่ม HIDDEN COBRA ใช้แพร่มัลแวร์เพื่อยึดเครื่อง payment switch application server แต่เครื่องที่เคยถูกยึดทั้งหมดใช้ระบบปฏิบัติการ IBM Advanced Interactive eXecutive (AIX) รุ่นที่ยกเลิกการ support แล้ว แต่ทั้งนี้ยังไม่มีหลักฐานว่า HIDDEN COBRA ใช้การโจมตีผ่านช่องโหว่ในระบบปฏิบัติการ AIX กลุ่ม HIDDEN COBRA มีความรู้ด้าน ISO 8583 ซึ่งเป็นมาตราฐานการรับส่งธุรกรรมการเงิน โดยมีการใช้ความรู้รวมถึง library ที่เกี่ยวกับ ISO 8583 ในการโจมตี

รายละเอียดทางเทคนิค

จากการวิเคราะห์ log และระบบที่ถูกโจมตีพบว่ากลุ่ม HIDDEN COBRA มักจะใช้มัลแวร์ที่ทำงานบน Windows ในการโจมตี ขณะนี้ยังไม่ทราบชัดเจนว่ากลุ่ม HIDDEN COBRA แพร่มัลแวร์ดังกล่าวอย่างไร แต่นักวิเคราะห์คาดว่าน่าจะเป็นการใช้ spear-phishing อีเมลไปยังพนักงานของธนาคาร เมื่อพนักงานหลงเชื่อและติดมัลแวร์ กลุ่ม HIDDEN COBRA จะทำการค้นหา switch application server และยึดเครื่องดังกล่าว

นอกจากการใช้มัลแวร์แล้ว กลุ่ม HIDDEN COBRA ยังใช้ไฟล์ AIX executable ที่เป็นไฟล์ปกติทั่วไปในระบบในการส่งคำสั่งไปยัง switch application server ที่ถูกโจมตีอีกด้วย

หลังจากยึดเครื่อง switch application server สำเร็จแล้ว กลุ่่ม HIDDEN COBRA จะส่งคำสั่งที่เหมือนคำสั่งปกติทั่วไปผ่าน command-line เพื่อปลอมแปลงพฤติกรรม เมื่อ server พบคำสั่งร้องขอต่างๆ ที่มี primary account numbers (PANs) ของกลุ่ม HIDDEN COBRA แล้วจะเกิดคำสั่งตอบสนองพิเศษเฉพาะคำสั่งร้องขอที่มีเลข PAN นั้นๆ ซึ่งแสดงในรูปที่ 1 ทำให้สร้างคำสั่งธุรกรรมปลอมเพื่อเบิกเงินออกจากเครื่อง ATM ได้

ทั้งนี้ผู้ที่สนใจสามารถอ่านรายงานการวิเคราะห์ไฟล์มัลแวร์ที่กลุ่ม HIDDEN COBRA ใช้อย่างละเอียดได้จาก MAR-10201537 – HIDDEN COBRA FASTCash-Related Malware

ผลกระทบที่อาจเกิดขึ้น

การโจมตีระบบเน็ตเวิร์คสำเร็จจะทำให้เกิดผลกระทบร้ายแรงโดยเฉพาะเมื่อระบบที่ถูกโจมตีเผยแพร่ต่อสาธารณะ องค์กรอาจจะได้รับผลกระทบดังนี้

• ถูกขโมยข้อมูลที่เป็นความลับ
• การดำเนินการหยุดชะงัก
• เสียงบประมาณในการฟื้นฟูความเสียหาย
• สูญเสียชื่อเสียงขององค์กร

วิธีตรวจจับรับมือและคำแนะนำเพิ่มเติม

• แนะนำให้ผู้ดูแลระบบตรวจสอบ bash history log ของผู้ใช้งานระบบที่มีสิทธิ root ทั้งหมด ซึ่งสามารถใช้บอกได้หากมีการใช้คำสั่งใดๆ บน switch application server ผู้ดูแลระบบควรเก็บ log และตรวจสอบคำสั่งทั้งหมด
• ผู้ดูแลระบบเน็ตเวิร์คควรศึกษารายงาน MAR-10201537 และตรวจสอบ IOCs ที่เกี่ยวข้องกับแคมเปญ FASTCash ของกลุ่ม HIDDEN COBRA ในระบบเน็ตเวิร์ค
• มีการตรวจสอบความถูกต้องของรหัสชิปและ PIN บนบัตรเดบิต
• มีการตรวจสอบว่าบัตรเดบิตนั้นออกอย่างถูกต้องหรือไม่ก่อนทำธุรกรรม
• มีการใช้ระบบการยืนยันตัวสองชั้นในการเข้าถึง switch application server
• ป้องกันไม่ให้เครื่องที่มีการต่ออินเตอร์เน็ตภายนอกเข้าถึงระบบเน็ตเวิร์คภายในที่มี switch application server
• ป้องกันไม่ให้เครื่องที่ไม่ได้รับอนุญาตเข้าถึงระบบ
• ใช้ไฟร์วอล
• ใช้ Access Control Lists (ACLs) เพื่อควบคุม traffic
• เข้ารหัสข้อมูลเมื่อส่งข้อมูล
• คอยตรวจสอบพฤติกรรมที่ไม่ปกติ มีการ audit ธุรกรรมและ log ของระบบ สร้าง baseline ของจำนวนธุรกรรม ความถี่ของธุรกรรม เวลาในการทำธุรกรรมและคอยตรวจสอบในกรณีที่มีความผิดจาก baseline

Indicator of Compromise

• IP
  • 75.99.63.27
• SHA256
  • 10ac312c8dd02e417dd24d53c99525c29d74dcbc84730351ad7a4e0a4b1a0eba
  • 3a5ba44f140821849de2d82d5a137c3bb5a736130dddb86b296d94e6b421594c
  • 4a740227eeb82c20286d9c112ef95f0c1380d0e90ffb39fc75c8456db4f60756
  • 820ca1903a30516263d630c7c08f2b95f7b65dffceb21129c51c9e21cf9551c6
  • a9bc09a17d55fc790568ac864e3885434a43c33834551e027adb1896a463aafc
  • ab88f12f0a30b4601dc26dbae57646efb77d5c6382fb25522c529437e5428629
  • ca9ab48d293cc84092e8db8f0ca99cb155b30c61d32a1da7cd3687de454fe86c
  • d465637518024262c063f4a82d799a4e40ff3381014972f24ea18bc23c3b27ee
  • e03dc5f1447f243cf1f305c58d95000ef4e7dbcc5c4e91154daa5acd83fea9a8
  • f3e521996c85c0cdb2bfb3a0fd91eb03e25ba6feef2ba3a1da844f1b17278dd
  • 1f2cd2bc23556fb84a51467fedb89cbde7a5883f49e3cfd75a241a6f08a42d6
  • 9ddacbcd0700dc4b9babcd09ac1cebe23a0035099cb612e6c85ff4dffd087a26

References

• https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity
• https://www.us-cert.gov/ncas/current-activity/2018/10/02/North-Korean-Malicious-Cyber-Activity
• https://www.us-cert.gov/ncas/alerts/TA18-275Ahttps://www.us-cert.gov/ncas/analysis-reports/AR18-275A
• https://thehackernews.com/2018/10/bank-atm-hacking.html