セキュリティ研究者らは、最近1,350万ドルのサイバー強盗の被害に遭ったコスモス銀行のSWIFT/ATMインフラへのサイバー攻撃を詳細に調査した。
セキュロニクスの専門家らは、国家支援を受けた北朝鮮のハッカーによるものとされるハッキングを受けた最新の金融機関である同銀行に対する攻撃の最も可能性の高い進行状況を概説した。
以前に報道されたとおり、悪名高いラザルス・グループに属すると思われるサイバー犯罪者/スパイが、8月10日から13日の間にコスモス銀行から1,350万ドルを盗んだ。
Securonix によると、この侵害には ATM スイッチと関連する SWIFT 環境の侵害が関与しており、ハッカーが現金を引き出す 2 つのルートが作成されたという。
標的型スピアフィッシング、またはリモート管理/サードパーティインターフェースへのハッキングにより、ハッカーはインドの銀行ネットワークへの最初の足掛かりを得ることができました。その後の横方向の移動により、銀行の内部インフラとATMインフラが侵害されました。
最初の侵入後、攻撃者はベンダーの ATM テスト ソフトウェアを利用するか、導入された ATM 支払いスイッチ ソフトウェアに変更を加えて、悪意のあるプロキシ スイッチを作成したと考えられます。
その後、ハッカーは、バックエンド/コアバンキングシステム (CBS) への接続を切断し、その代わりに独自の偽造システムを置き換える前に、既存の (正当な) システムと並行して悪意のある ATM/POS スイッチを確立できるようになりました。
![銀行ATMスイッチアーキテクチャ [出典: Securonixブログ投稿]](https://image.brawte.com/anejbkmn/b9/a6/banking_atm_switch_architecture.webp)
一般的な銀行ATMスイッチアーキテクチャ
決済スイッチから取引承認のために送信された情報はバックエンドシステムに転送されなかったため、カード番号、カードステータス、PINなどの確認は実行されませんでした。リクエストは、攻撃者が展開したシャドーシステムによって処理され、偽の応答を送信して取引を承認していました。
セキュロニクス社によると、この偽造システムは、28カ国で450枚の複製された(ユーロペイ、マスターカード、ビザ以外の)デビットカードを使用して、2,800件以上の国内(ルペイ)取引と12,000件の国際(ビザ)取引を通じて、1,150万ドルを超えるATM引き出しを承認するために使用されたという。
セキュロニクス社は、今回の攻撃は、標的の現金自動預け払い機にマルウェアを仕掛けることに重点を置いてきたメキシコ、ロシアなどの犯罪組織による銀行ATM強盗よりもはるかに巧妙なものだと評価している。
「今回の攻撃は、銀行のインフラを狙った、より高度で綿密に計画され、高度に組織化された作戦であり、実質的に3つの主要な防御層を迂回した(PDF)」と同社は述べた。
犯罪者たちはそこで止まらず、コスモス銀行の侵害を受けたネットワークをさらにハッキングし、SWIFT銀行間メッセージングネットワークを通じて200万ドルの不正送金を承認した。
2018年8月13日、悪意のある脅威アクターは、おそらく横方向に移動し、コスモス銀行のSWIFT SAA環境のLSO/RSO侵害/認証を使用して、香港のハンセン銀行のALM Trading Limitedに約200万米ドル相当の悪意のあるMT103を3つ送信することで、コスモス銀行への攻撃を継続しました。
この攻撃は、Windows Admin Shares を利用したラテラルムーブメント、TLS を模倣したカスタムコマンドアンドコントロール (C2) の使用、永続性確保のための標的への新規サービスの追加、Windows ファイアウォールの変更など、Lazarus Group の特徴的な攻撃手法を特徴としています。Lazarus Group の攻撃手法全般に関するより詳細な説明は、Mitre のこちらの wiki 記事をご覧ください。
Securonix の調査は、銀行が将来同様の攻撃を検出する可能性を高めることを目的として設計されています。®
