Según The Hacker News, el US-CERT ha emitido una alerta técnica conjunta del DHS, el FBI y la advertencia del Tesoro sobre un nuevo sistema de ataque a cajeros automáticos utilizado por el prolífico grupo de piratería APT de Corea del Norte conocido como Hidden Cobra.
Se cree que Hidden Cobra, también conocido como Lazarus Group y Guardians of Peace, está respaldado por el gobierno norcoreano y ha lanzado ataques contra varias organizaciones de medios de comunicación, aeroespacial, financiera y sectores de infraestructura crítica en todo el mundo.
El grupo también había sido asociado con la amenaza de ransomware WannaCry que el año pasado cerró hospitales y grandes empresas en todo el mundo, el ataque a la Banca SWIFT en 2016, así como el hackeo de Sony Pictures en 2014. Ahora, el FBI, el Departamento de Seguridad Nacional (DHS) y el Departamento del Tesoro dieron a conocer detalles sobre un nuevo ataque cibernético, denominado «FASTCash», que Hidden Cobra ha estado utilizando desde al menos 2016 para retirar dinero de Cajeros automáticos hackeando el servidor del banco.
Los investigadores analizaron 10 muestras de malware asociadas con los ciberataques de FASTCash y encontraron que los atacantes acceden de forma remota a los servidores de aplicaciones de conmutación de los bancos seleccionados para facilitar las transacciones fraudulentas.
El servidor de aplicaciones de Switch es un componente esencial de los cajeros automáticos y las infraestructuras de puntos de venta que se comunican con el sistema bancario central para validar las credenciales de la cuenta bancaria del usuario para cada transacción solicitada.
Aunque el vector de infección inicial utilizado para atacar las redes del Banco es desconocido, las autoridades de los EE.UU. Creen que los autores de la amenaza APT utilizaron correos electrónicos de phishing, que contienen ejecutables maliciosos para sistemas Windows, contra empleados de diferentes bancos.
Una vez abiertos los ordenadores de los empleados del banco, son infectados con ejecutables con malware basado en Windows, que permiten a los piratas informáticos moverse sigilosamente a través de la red del banco utilizando credenciales legítimas e implementar malware en el servidor de aplicaciones de gestión de pago.
US-CERT recomendó a los bancos que implementaran la obligación de utilizar la autenticación de dos factores antes de que cualquier usuario pueda acceder al servidor de aplicaciones del switch y usar mejores métodos para proteger sus redes.
