상세 컨텐츠

본문 제목

은행 서버 해킹 되어 ATM이 수 백만 달러 뱉어 내

국내외 보안동향

by 알약(Alyac) 2018. 10. 4. 17:01

본문

Bank Servers Hacked to Trick ATMs into Spitting Out Millions in Cash


US-CERT가 미 국토안보부, FBI, 재무부와 함께 히든 코브라로 알려진 북한의 APT 해킹 그룹의 ATM 해킹 공격에 대해 경고했습니다.


라자루스, 평화의 수호자라고도 알려진 히든코브라는 북한 정부의 지원을 받는 것으로 추측 되고 있으며 전 세계 다수 언론사, 항공 우주, 금융, 핵심 인프라 분야를 공격했습니다.


FBI, 미 국토안보부 및 재무부는 새로운 사이버 공격인 “FASTCash”에 대한 세부 정보를 공개했습니다. 이는 히든 코브라가 ATM에서 돈을 훔치기 위해 최소 2016년부터 은행 서버를 해킹하는데 사용되었습니다


ATM이 현금을 뱉어 내도록 속이는 FASTCash


FASTCash 사이버 공격 악성 코드 샘플들 10개를 분석한 결과, 공격자들이 사기 거래를 위해 타겟 은행의 지불 “스위치 어플리케이션 서버”를 원격으로 해킹했다는 것을 발견했습니다.


스위치 어플리케이션 서버는 ATM과 PoS 인프라의 핵심 컴포넌트로 요청 된 거래에 대한 사용자의 은행 계좌 정보를 검증하기 위해 코어 뱅킹 시스템과 통신합니다.


<이미지 출처: https://www.us-cert.gov/ncas/alerts/TA18-275A>


사용자가 소매점의 ATM이나 PoS 기기에서 지불 카드를 사용할 때 마다, 이 소프트웨어는 ISO 8583 메시지 포맷으로 해당 은행의 스위치 어플리케이션 서버에 사용자의 잔액을 확인 후 거래를 승인/거절할지를 묻습니다.


하지만 히든 코브라 공격자들은 자신들이 최소한의 기록이나 잔액이 0인 계좌 및 지불카드를 보유한 은행들의 어플리케이션 서버를 해킹했습니다.


이 악성코드는 해킹 된 스위치 어플리케이션 서버에 설치 된 후 공격자의 지불 카드 관련 트랜잭션에 인터셉트해 진짜처럼 보이는 가짜 승인 응답을 보내, 핵심 뱅킹 시스템이 그들의 계좌 잔액을 실제로 확인하지 않고도 ATM이 은행에 어떠한 알림도 없는 상태로 대량의 현금을 내놓도록 속입니다.


연구원들은 “신뢰할 수 있는 파트너의 추측에 따르면, 히든 코브라 공격자들은 수 천만 달러를 훔쳤습니다.”


“2017년 발생한 한 사건에서, 히든 코브라 공격자들은 30개국에 위치한 ATM에서 동시에 돈을 인출할 수 있었습니다. 2018년 발생한 또 다른 사건에서, 히든 코브라는 23개국의 ATM에서 동시에 돈을 인출했습니다.”고 밝혔습니다.


히든 코브라 공격자들은 FASTCash 공격을 통해 아프리카와 아시아의 은행들을 노리고 있습니다. 미 당국은 FASTCash가 미국의 은행들을 노리지는 않는지 확인하기 위해 사건들을 조사하고 있습니다.



공격자들이 은행의 스위치 어플리케이션 서버를 해킹한 방법


은행의 네트워크를 해킹하는데 사용 된 초기 감염 경로는 밝혀지지 않았지만, 미 당국은 APT 공격자들이 악성 윈도우 실행파일을 첨부한 스피어 피싱 이메일을 은행의 직원들에게 보낸 것으로 추측하고 있습니다.


이 실행파일이 오픈 되면, 은행 직원의 컴퓨터를 윈도우 기반 악성코드로 감염시켜 해커들이 정식 크리덴셜을 사용해 은행의 네트워크 내부에 침투해 지불 스위치 어플리케이션 서버에 악성코드를 배포할 수 있습니다.


해킹 당한 스위치 어플리케이션 서버들 대부분은 지원 되지 않는 버전의 IBM AIX(Advanced Interactive

eXecutive) OS 시스템을 사용하고 있었지만, 아직까지 AIX OS의 어떤 취약점을 악용했는지는 밝혀지지 않았습니다.


US-CERT는 은행들에 모든 사용자가 스위치 어플리케이션 서버에 접근할 때 필수로 이중인증 과정을 거치도록 하고, 우수 사례를 인용해 네트워크를 보호할 것을 권고했습니다.


또한 US-CERT는 사용자들이 히든 코브라의 악성 사이버 활동들에 노출 되지 않게 이들을 블록하고 네트워크 방어를 활성화 할 수 있도록 다운로드 가능한 IOC를 공개했습니다.


현재 알약에서는 해당 악성코드들에 대해 Trojan.Agent.1643616,Trojan.Nukesped.A로 탐지중에 있습니다. 




출처 :

https://thehackernews.com/2018/10/bank-atm-hacking.html

https://www.us-cert.gov/ncas/alerts/TA18-275A



관련글 더보기

댓글 영역