Open in app

Sign in

Write

Sign in

FASTCASH Exploit — LAZARUS frappe à nouveau !

Marin Thom
INSA TC
Published in
10 min readDec 14, 2018

En collaboration avec Timothée Craig

Dans cet article nous reviendrons sur l’attaque FASTCASH opérée par le célèbre groupe de hackers Nord-Coréens Lazarus.

Attaque des distributeurs automatiques !

L e 2 octobre 2018 l’US-CERT, le département de la sécurité du territoire, le FBI et le département du Trésor américain ont lancé une alerte concernant une faille dans les systèmes bancaires. Celle-ci a permis à des hackers expérimentés de retirer des espèces à un distributeur automatique en introduisant une carte bancaire reliée à un compte dépourvu de liquidité. Les banques impactées ne se sont rendu compte de la faille que récemment, laissant libre cours aux fraudeurs au moins depuis 2016. L’exploitation de cette faille a eu pour cible des banques dans différents pays d’Afrique et d’Asie. Selon les estimations plusieurs dizaines de millions de dollars ont ainsi été dérobés.

Les attaquants ont été identifiés comme appartenant à une organisations du nom d’HIDDEN COBRA (nom de code donnée par le gouvernement américain au groupe Lazarus), organisation Nord-Coréenne connue pour ses activités de cybercriminalité.

L’information, rapidement relayée dans les médias après la découverte du subterfuge par les autorités, a permis aux banques de revoir les systèmes de sécurités de leurs distributeurs et ainsi d’entraver les attaques menées par l’organisation. Cette découverte aura également permis de corriger une faille de longue date de la norme ISO 8583, publiée en 1993, révisée en 1998 puis en 2003.

L’exploit est basé sur l’utilisation d’un cheval de Troie nommé “Trojan.FASTCash” par le gouvernement américain, qui affecte les systèmes Unix tournant sur les serveurs des banques. La signature de ce malware a été ajoutée début Novembre 2018 par les antivirus. Mais comment fonctionne-t-il ? Quel est son principe d’action ? Comment les membres de l’organisation HIDDEN COBRA ont pu retirer de l’argent sans en avoir avec un simple mail ?

Comment ont-ils pu réaliser un tel exploit ?

Fig. 1 — Copyright © Symantec Corporation

Afin de permettre le retrait frauduleux aux guichets automatiques, les attaquants ont injecté à distance un exécutable malveillant sur les serveurs de la banque via des courriels de spear-phishing. “Trojan.FASTCash” est alors exécuté dans un processus en cours d’exécution et légitime sur le serveur d’applications des transactions financières, en l’occurrence une machine gérant les transactions de guichets automatiques. L’exécutable malveillant contient une logique permettant de construire des messages ISO 8583 frauduleux et ainsi communiquer avec les systèmes financiers. ISO 8583 est la norme pour la messagerie des transactions financières.

“Trojan.FASTCash” a deux fonctions principales illustrées sur la Figure 1:

  1. Il surveille les messages entrants et intercepte les demandes de transaction frauduleuse générées par l’attaquant pour les empêcher d’atteindre l’application qui traite les transactions dans l’usage nominal.
  2. Il contient une logique qui génère l’une des trois réponses frauduleuses aux demandes de transaction frauduleuses.

Quel est le principe d’action ?

Une fois installé sur le serveur, “Trojan.FASTCash” lit tout le trafic réseau entrant en analysant les messages de demande ISO 8583 entrants. Il lit le numéro de compte principal (PAN: données de paiement du porteur de la carte bancaire) de tous les messages et, s’il en trouve un contenant un numéro de PAN utilisé par les attaquants, le logiciel malveillant tentera de modifier ces messages. La manière dont les messages sont modifiés dépend de chaque organisme bancaire victime. Il transmettra ensuite un faux message de réponse approuvant les demandes de retrait frauduleuses. Par suite, les tentatives de retrait d’argent via un guichet automatique par les attaquants de Lazarus seront approuvées. En résumer, ces scripts légitimes configurés et déployés n’ont qu’un seul objectif: intercepter et répondre aux messages de demande financière avec des messages de réponse affirmatifs frauduleux mais d’apparence légitime.

Le hacker peut alors se rendre à un distributeur de billets avec sa carte, tape son code pin, le distributeur infecté reçoit l’ordre de donner des billet sans débiter le compte bancaire qui est vide !

Les numéros PAN utilisés pour mener les attaques FASTCash se rapportent à des comptes réels. Selon le rapport de l’US-CERT, la plupart des comptes utilisés pour initier les transactions présentaient une activité de compte minimale ou un solde nul. La manière dont les attaquants acquièrent le contrôle de ces comptes n’est pas claire. Il est possible que les attaquants ouvrent les comptes eux-mêmes et fassent des demandes de retrait avec des cartes émises pour ces comptes. Une autre possibilité est que les attaquants utilisent des cartes volées pour effectuer les attaques.

Recherche d’indices !

Récemment, un examen des fichiers journaux a montré que les acteurs d’HIDDEN COBRA faisaient des “fautes de frappe” et corrigeaient activement les erreurs lors de la configuration du serveur ciblé pour une activité non autorisée. Sur la base de l’analyse des systèmes affectés, les analystes estiment que les scripts utilisés par le groupe ont inspecté les messages de demande financière entrante pour des numéros de compte primaire (PAN: Primary Account Numbers, numéro de comptes) spécifiques appartenant à un liste dite “noire”. Si le PAN n’était pas enregistré, alors la procédure était “normale”. Ainsi, le serveur était en somme un proxy pour les hackers qui pouvait retirer de l’argent, sans se faire débiter du compte associé au PAN.

De plus, les analystes estiment que les acteurs d’HIDDEN COBRA ont bloqué les messages de transaction pour empêcher les messages de refus de quitter le commutateur et ont utilisé une fonction GenerateResponse* pour approuver les transactions. Ces messages de réponse ont probablement été envoyés pour les PAN spécifiques mis en correspondance à l'aide de la vérification CheckPan().

_____

Plusieurs variantes du “Trojan.FASTCash” ont été détectées, chacune d’elles utilisant une logique de réponse différente. Nous pensons que chaque variante est adaptée à un réseau de traitement de transactions particulier et possède donc sa propre logique de réponse.

À ce jour, dans toutes les attaques FASTCash signalées, les attaquants ont compromis les serveurs d’applications bancaires exécutant des versions du système d’exploitation IBM Advanced Interactive eXecutive (AIX) dépréciées. Cependant rien n’indique que les acteurs d’HIDDEN COBRA ont exploité une faille de ce système d’exploitation lors de ces incidents.

Bien que certains des fichiers utilisés par les acteurs d’HIDDEN COBRA soient légitimes et non pas intrinsèquement malveillants, il est probable que les acteurs d’HIDDEN COBRA aient utilisé ces fichiers légitimes à des fins malveillantes. Les exemples de logiciels malveillants obtenus aux fins d’analyse comprenaient des fichiers exécutables AIX destinés au système d’exploitation UNIX propriétaire développé par IBM. Les fichiers exécutables IBM AIX ont été conçus pour effectuer une injection de code d’une bibliothèque dans un processus en cours d’exécution. L’un des exemples d’exécutables AIX obtenus fournit des fonctions d’exportation permettant à une application d’effectuer des transactions sur des systèmes financiers à l’aide de la norme ISO 8583.

Le NCCIC a analysé 10 échantillons de logiciels malveillants liés à cette activité et a produit un rapport d’analyse des logiciels malveillants. MAR-10201537.

Allons plus loin sur…

…la norme ISO 8583:

Cette norme est un standard international pour les transactions financières venant de cartes bancaires. Cette dernière à été révisée plusieurs fois, et n’avait pas été révisée depuis 2003. Elle définit le format des messages que les différentes entités d’un réseau financier s’échangent, les codes de retour, les codes d’identification, les procédures pour les messages d’erreur…

HIDDEN COBRA a exploité des failles de ce standard afin de corrompre les distributeurs de monnaie. Les acteurs d’HIDDEN COBRA ont très probablement déployé des bibliothèques ISO 8583 sur les serveurs d’applications de commutateur ciblés. Les acteurs des menaces malveillantes utilisent ces bibliothèques pour interpréter les messages de demande financière et construire correctement des messages de réponse financière frauduleux.

…le Phishing & Outils Windows

Les acteurs d’HIDDEN COBRA auraient utilisé du phishing sous la forme d’un e-mail ciblé vers les utilisateurs du système d’information des banques (employés de banque par exemple). Ainsi ils auraient pu découvrir la structure du réseau grâce à des logiciels malveillants Windows et donc identifier les machines cibles (les serveurs de paiement). Les logiciels utilisés dans l’attaque seraient principalement basés sur Windows, et seraient soit des exécutables soit des lignes de commande. Il est fort probable que les protagonistes de l’organisation ait utilisé des couples login / mot de passe légitimes afin d’accéder aux différentes machines.

Avant d’attaquer la machine de paiement, ils auraient rebondi sur plusieurs machines en interne, après avoir obtenu les mot de passes. En ayant accédé aux serveurs, ils auraient ainsi déployé tout leur infrastructure permettant de compromettre les messages renvoyés vers les distributeurs.

Impact

Une intrusion réussie dans le réseau peut avoir de graves conséquences, en particulier si le compromis devient public. Les impacts possibles sur l’organisation touchée incluent

  • Perte temporaire ou permanente d’informations sensibles ou propriétaires,
  • Perturbation des opérations régulières,
  • Coûts financiers pour la restauration des systèmes et des fichiers, et
  • Risque potentiel pour la réputation d’une organisation.

Menace permanente pour le secteur financier

La récente vague d’attaques de FASTCash démontre que les attaques motivées par des raisons financières ne constituent pas un intérêt passager pour le groupe Lazarus et peuvent désormais être considérées comme l’une de ses activités principales.

Comme pour la série de cambriolages virtuels de banques de 2016, y compris celle de la Bangladesh Bank, FASTCash montre que Lazarus possède une connaissance approfondie des systèmes bancaires et des protocoles de traitement des transactions et dispose de l’expertise nécessaire pour exploiter ces connaissances afin de voler d’importantes sommes d’argent aux banques vulnérables. .

En bref, Lazarus continue de représenter une menace sérieuse pour le secteur financier et les organisations doivent prendre toutes les mesures nécessaires pour que leurs systèmes de paiement soient totalement à jour et sécurisés.

Comment se protéger ?

Les acteurs de la sécurité ont mis en place les détections suivantes pour protéger les clients contre les attaques Lazarus FastCash:

Indicateurs de compromis (IOC)

D465637518024262C063F4A82D799A4E40FF3381014972F24EA18BC23C3B27EE (Injecteur Trojan.Fastcash)

CA9AB48D293CC84092E8DB8F0CA99CB155B30C61D32A1DA7CD3687DE454FE86C (DLL Trojan.Fastcash)

10AC312C8DD02E417DD24D53C99525C29D74DCBC84730351AD7A4E0A4B1A0EBA (DLL Trojan.Fastcash)

3A5BA44F140821849DE2D82D5A137C3BB5A736130DDB86B296D94E6B421594C (DLL Trojan.Fastcash)

Prévention des vulnérabilités

NCCIC recommande aux administrateurs de consulter les journaux d’historique bash de tous les utilisateurs dotés de privilèges root. Les administrateurs peuvent trouver des commandes entrées par les utilisateurs dans les journaux de l’historique bash. ceux-ci indiqueraient l’exécution de scripts sur le serveur d’applications du commutateur. Les administrateurs doivent se connecter et surveiller toutes les commandes.

Le gouvernement américain recommande aux administrateurs de réseau d’examiner MAR-10201537 pour les indicateurs de compromission (IOC) associés à la campagne HIDDEN COBRA FASTCash, d’identifier si l’un des IOC fournis fait partie du réseau de leur organisation et, le cas échéant, de prendre les mesures nécessaires pour supprimer le malware.

Quelques Solutions: recommandations d’atténuation pour les institutions dotées de systèmes de paiement

Exiger la validation du cryptogramme de la puce et du numéro d’identification personnel

  • Appliquez les exigences relatives aux puces et aux numéros d’identification personnels (PIN) pour les cartes de débit.

Isoler l’infrastructure du système de paiement

  • Exigez une authentification à deux facteurs avant qu’un utilisateur puisse accéder au serveur d’applications du commutateur.
  • Vérifiez que les contrôles de sécurité du périmètre empêchent les hôtes Internet d’accéder à l’infrastructure de réseau privé desservant votre serveur d’applications de commutation de paiement.
  • Vérifiez que les contrôles de sécurité du périmètre empêchent tous les hôtes en dehors des ordinateurs d’extrémité autorisés d’accéder à votre système.

Séparer logiquement les environnements d’exploitation

  • Utilisez des pare-feu pour diviser les environnements d’exploitation en enclaves.
  • Utilisez des listes de contrôle d’accès (ACL) pour autoriser ou empêcher le trafic spécifique de circuler entre ces enclaves.
  • Accordez une attention particulière aux enclaves contenant des informations sensibles (systèmes de gestion de cartes, par exemple) provenant d’environnements nécessitant une connectivité Internet (courrier électronique, par exemple).

Chiffrer les données en transit

  • Sécurisez tous les liens vers les moteurs de système de paiement avec un mécanisme basé sur un certificat, tel que la sécurité mutuelle de la couche de transport, pour tout le trafic externe ou interne à l’organisation.
  • Limitez le nombre de certificats utilisés sur le serveur de production et limitez l’accès à ces certificats.

Surveiller les comportements anormaux dans le cadre de la sécurité en couches

  • Configurez le serveur d’applications du commutateur pour consigner les transactions. Auditer régulièrement les transactions et les journaux système.
  • Développer une base de référence des logiciels, utilisateurs et ouvertures de session attendus. Surveillez les serveurs d’applications de commutation pour détecter les installations de logiciels inhabituelles, les mises à jour, les modifications de compte ou toute autre activité en dehors du comportement attendu.
  • Élaborez une base de référence des participants attendus à la transaction, des montants, de la fréquence et du calendrier. Surveillez et signalez les transactions anormales pour suspecter une activité frauduleuse.
  • Implémentez les Access Control List (ACL) appropriées.

Lazarus très actif depuis des années !

Lazarus est un groupe d’attaque très actif impliqué dans la cybercriminalité et l’espionnage. Le groupe était initialement connu pour ses opérations d’espionnage et un certain nombre d’attaques perturbatrices très médiatisées, notamment l’énorme piratage en 2014 des serveurs de Sony Pictures [article]: une attaque qui avait suivi l’annonce de la sortie du film The Interview (une comédie se moquant allègrement de Kim Jong-un) entrainant le vole de grandes quantités d’informations et la destruction des ordinateurs par des logiciels malveillants. Lazarus s’est également impliqué ces dernières années dans des attaques à caractère financier. Le groupe était lié au vol de 81 millions de dollars de la banque centrale du Bangladesh en 2016 , ainsi qu’à plusieurs autres vols de banque. Plus récemment, Lazarus a également été impliqué dans le FastCash de 2017; des sommes d’argent importantes avaient été siphonnées dans plus d’une trentaine de pays. La dissémination rapide du ransomware WannaCry (des centaines de milliers de machines infestées) serait aussi à mettre à leur actif. La dissémination rapide du ransomware WannaCry (des centaines de milliers de machines infestées) serait aussi à mettre à leur actif. WannaCry a incorporé l’exploit «EternalBlue» divulgué qui utilisait deux vulnérabilités connues de Windows ( CVE-2017–0144 et CVE-2017–0145 ) pour transformer le ransomware en un ver capable de se propager à tous les ordinateurs non corrigés sur le réseau de la victime et également à d’autres ordinateurs vulnérables connectés à Internet. Quelques heures après sa publication, WannaCry avait infecté des centaines de milliers d’ordinateurs dans le monde. En outre, le FBI disposerait de preuves indiquant que les hackers sont en relation avec les services de renseignement nord-coréens.

Pour plus d’informations sur l’activité d’ HIDDEN COBRA, rendez-vous sur https://www.us-cert.gov/hiddencobra

Hacker
Lazarus Group
Atm Services
Banks
Secu2018

--

--

Marin Thom
INSA TC

Written by Marin Thom

2 Followers
Writer for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams