telkomsel halo

Symantec ungkap cara Grup Lazarus menguras ATM

06:49:13 | 13 Nov 2018
Symantec ungkap cara Grup Lazarus menguras ATM
JAKARTA (IndoTelko) - Pada tanggal 2 Oktober 2018, US-CERT, Departemen Keamanan Dalam Negeri, Departemen Keuangan, dan FBI mengeluarkan sebuah peringatan.

Berdasarkan peringatan baru tersebut, Hidden Cobra (nama kode pemerintah AS untuk Lazarus) telah meluncurkan serangan "FASTCash" yang berhasil menguras uang dari mesin Anjungan Tunai Mandiri (ATM) dari bank-bank di Asia dan Afrika kurang lebih sejak tahun 2016.

Lazarus adalah kelompok serangan yang sangat aktif yang terlibat dalam kejahatan siber dan spionase.

Kelompok ini awalnya dikenal akan serangan spionasenya dan sejumlah serangan yang menyasar perusahaan-perusahan terkemuka, termasuk serangan ke Sony Pictures pada tahun 2014. Bahkan baru-baru ini, Lazarus juga terlibat dalam serangan bermotif keuangan, termasuk peristiwa pencurian uang sebesar US$ 81 juta dolar dari Bank Sentral Bangladesh dan serangan ransomware WannaCry.

Dengan adanya laporan yang dikeluarkan oleh US CERT, penelitian dari Symantec kini telah menemukan komponen utama yang digunakan dalam gelombang serangan bermotif keuangan yang baru-baru ini terjadi yang dilakukan oleh kelompok tersebut.

Operasi yang dikenal sebagai "FASTCash" memungkinkan Lazarus menguras ATM dengan melakukan penarikan uang tunai. Untuk melakukan penarikan palsu tersebut, Lazarus pertama-tama menyusup ke jaringan bank yang disasar dan membahayakan server aplikasi switch yang menangani transaksi ATM.

Setelah server ini disusupi, malware yang sebelumnya tidak dikenal (Trojan.Fastcash) kemudian disebarkan.

Malware ini kemudian memanipulasi permintaan penarikan tunai yang dilakukan oleh kelompok Lazarus  dan mengirimkan tanggapan persetujuan palsu, yang memungkinkan penyerang mencuri uang tunai dari ATM.

Menurut peringatan dari pemerintah AS, sebuah insiden pada tahun 2017 menemukan kejadian penarikan uang tunai secara bersamaan dari ATM di lebih dari 30 negara yang berbeda.

Dalam insiden besar lainnya pada tahun 2018, uang tunai telah ditarik dari ATM di 23 negara. Sampai saat ini, operasi Lazarus FASTCash diperkirakan telah mencuri uang bernilai puluhan juta dolar.

Serangan FASTCash  
Untuk mengizinkan penarikan palsu mereka dari ATM, penyerang akan menyuntikkan Advanced Interactive eXecutive (AIX) yang berbahaya ke dalam proses yang berjalan dan legal pada server aplikasi switch pada jaringan transaksi keuangan, dalam hal ini jaringan ATM.

Executable yang berbahaya mengandung logika untuk membangun pesan-pesan ISO 8583 palsu. ISO 8583 adalah standar untuk pesan transaksi keuangan. Tujuan dari eksekusi ini belum pernah didokumentasikan sebelumnya.  

Sebelumnya diyakini bahwa penyerang menggunakan skrip untuk memanipulasi software yang asli di server untuk memungkinkan kegiatan penipuan.

Namun, analisis Symantec telah menemukan bahwa eksekusi ini sebenarnya adalah malware, yang kami namakan Trojan.Fastcash. Trojan.Fastcash memiliki dua fungsi utama:

1. Memantau pesan masuk dan memotong permintaan transaksi penipuan yang dihasilkan penyerang untuk mencegah mereka mencapai aplikasi switch yang memproses transaksi.

2. Berisi logika yang menghasilkan salah satu dari tiga respon rekayasa terhadap permintaan transaksi palsu.

Setelah terinstal di server, Trojan.Fastcash akan membaca semua lalu lintas jaringan yang masuk, yang memindai pesan permintaan ISO 8583 yang masuk.

Malware ini akan membaca Nomor Rekening Primer (PAN) pada semua pesan dan jika menemukan ada yang berisi nomor PAN yang digunakan oleh penyerang di mana Indikator Jenis Pesan (MTI) adalah "0x100 Permintaan Otorisasi dari Acquirer", malware tersebut akan memblokir pesan agar tak melangkah lebih jauh.

Malware ini kemudian akan mengirimkan pesan tanggapan rekayasa yang menyetujui permintaan penarikan palsu. Alhasil, upaya untuk menarik uang tunai melalui ATM oleh penyerang Lazarus pun akan mendapat persetujuan.

Berikut adalah salah satu contoh logika respon yang digunakan Trojan.Fastcash untuk menghasilkan respon palsu. Sampel khusus ini memiliki logika untuk membuat satu dari tiga tanggapan rekayasa berdasarkan permintaan dari penyerang yang masuk:

Untuk Indikator Jenis Pesan == 200 (Transaksi ATM) dan Mode Titik Masuk Layanan dimulai dengan 90 (hanya Jalur Magnetik):

Jika Kode Pemrosesan dimulai dengan 3 (Pertanyaan Saldo): Kode Respons = 00 (Disetujui)

Jika tidak, jika Nomor Akun Utama masuk daftar hitam oleh Penyerang: Kode Jawaban = 55 (PIN Tidak Valid)

Semua Kode Pemrosesan lainnya (dengan PAN yang tidak masuk daftar hitam): Kode Respons = 00 (Disetujui)

Dalam kasus ini, para penyerang tampaknya ingin membangun sebuah kemampuan agar dapat menolak transaksi dengan selektif berdasarkan daftar hitam dari nomor akun milik mereka sendiri. Namun, kemampuan tersebut tidak diimplementasikan dalam kasus ini dan pengecekan untuk daftar hitam tersebut selalu kembali ke status "False".

Symantec telah menemukan beberapa varian Trojan.Fastcash, yang masing-masing menggunakan logika tanggapan yang berbeda. Kami yakin bahwa setiap varian disesuaikan untuk jaringan pemrosesan transaksi tertentu, sehingga memiliki logika respons yang disesuaikan.

Nomor PAN yang digunakan untuk meluncurkan serangan FASTCash berhubungan dengan akun asli. Menurut laporan US-CERT, sebagian besar akun yang digunakan untuk memulai transaksi memiliki aktivitas akun minimal atau saldo nol. Cara penyerang menguasai akun-akun ini masih belum jelas. Ada kemungkinan para penyerang membuka akun itu sendiri dan membuat permintaan penarikan dengan kartu yang dikeluarkan untuk akun tersebut. Kemungkinan lain adalah para penyerang menggunakan kartu yang dicuri untuk melakukan serangan.

Dalam semua serangan FASCash yang diketahui hingga saat ini, para penyerang telah membahayakan server aplikasi perbankan yang menjalankan versi sistem operasi AIX yang tidak didukung, di luar akhir dari tanggal dukungan paket layanan mereka.

Siapa Lazarus? Lazarus adalah kelompok yang sangat aktif yang terlibat dalam kejahatan siber dan spionase. Lazarus awalnya dikenal karena keterlibatannya dalam operasi spionase dan sejumlah serangan yang menyasar beberapa perusahaan terkemuka, termasuk serangan terhadap Sony Pictures yang terjadi pada tahun 2014 yang mengakibatkan sejumlah besar informasi dicuri dan dihapus dari beberapa komputer yang disebakan oleh malware.

Dalam beberapa tahun terakhir, Lazarus juga terlibat dalam serangan bermotif keuangan. Kelompok ini dikaitkan dengan pencurian uang sebesar $81 juta dari bank sentral Bangladesh pada tahun 2016, bersama dengan sejumlah perampokan bank lainnya.

Lazarus juga dikaitkan dengan wabah ransomware wannaCry ransomware yang terjadi pada Mei 2017. WannaCry menggabungkan eksploitasi "EternalBlue" yang bocor yang menggunakan dua kerentanan yang dikenal di Windows (CVE-2017-0144 dan CVE-2017-0145) untuk mengubah ransomware menjadi worm, mampu menyebar sendiri ke komputer manapun yang tidak memiliki patch pada jaringan korban dan juga ke komputer lainnya yang rentan dan yang terhubung ke internet.

Dalam beberapa jam setelah diluncurkan, WannaCry telah menginfeksi ratusan ribu komputer di seluruh dunia.

Gelombang serangan FASTCash baru-baru ini menunjukkan bahwa serangan bermotif keuangan bukan hanya animo sesaat bagi kelompok Lazarus dan sekarang dapat dianggap sebagai salah satu kegiatan utama bagi kelompok tersebut.

Seperti pada tahun 2016 serangkaian perampokan bank virtual, termasuk perampokan Bank Bangladesh, FASTCash menggambarkan bahwa Lazarus memiliki pengetahuan mendalam tentang sistem perbankan dan protokol pemrosesan transaksi dan memiliki keahlian untuk memanfaatkan pengetahuan itu untuk mencuri uang dalam jumlah besar dari beberapa bank yang rentan terhadap serangan.

Singkatnya, Lazarus terus meluncurkan ancaman serius bagi sektor perbankan dan perusahaan harus mengambil semua langkah yang diperlukan untuk memastikan bahwa sistem pembayaran mereka sepenuhnya aman.

Organisasi harus memastikan bahwa sistem operasi dan semua software lainnya sudah diperbarui. Pembaruan software akan selalu menyertakan patch untuk kerentanan keamanan yang baru ditemukan yang dapat dimanfaatkan oleh penyerang.

GCG BUMN
Dalam semua serangan FASTCash yang dilaporkan hingga saat ini, para penyerang telah membahayakan server aplikasi perbankan yang menjalankan versi sistem operasi AIX yang tidak didukung, di luar akhir dari tanggal dukungan paket layanan mereka.(ak)

Artikel Terkait
Rekomendasi
Berita Pilihan
More Stories
Data Center Service Provider of the year