据报道,朝鲜著名黑客团伙Lazarus针对印度Cosmos银行展开复杂攻击进而谋财。
已发生的网络犯罪活动与朝鲜Lazarus组织有关——通过28个国家的ATM从印度一家银行盗得1350万美元。该攻击案发前几天,FBI才刚刚警告过即将发生针对被黑银行的“取现”攻击。
据报道,印度Cosmos的合作银行遭受的这次攻击,攻击者能够绕过该行ATM交易系统上的安全措施,进行操作。
该犯罪团伙散布在世界各地,利用ATM和克隆卡从攻击中获利。Cosmos的SWIFT国际支付系统似乎同时被黑。
Cosmos银行总裁 Milind Kale 承认,仅上周末,8月11到13号之间,就发生了约1.2万起非法交易。
| 2天之内,黑客从28个国家的各型ATM上取出了7.8亿卢比(1110万美元),包括加拿大、香港和印度的一部分ATM,另有2500万卢比(35.6万美元)是从印度取出的。 |
据《印度经济时报》报道,8月13号,攻击者还利用该行被黑的SWIFT国际支付系统,转账了1.392亿卢比(200万美元)到一家香港银行。
目前为止,该行总计损失了1350万美元,而鉴于系统被黑的程度,该数字还有可能继续上升。
《印度经济时报》描述称,黑客侵入了ATM交易机的服务器系统的防火墙,然后设置了代理服务器,用该虚假/代理服务器进行授权交易。
也就是说,ATM在攻击者控制下,不去检查银行卡是否真实就开始吐钱。
据独立安全记者布莱恩·克雷布斯报道,FBI在周五就曾发出过相关警告。
FBI的警告写道:“网络罪犯通常会将被盗数据发送给共犯,由共犯将数据写入可重用磁条卡,比如零售店售卖的礼品卡,借此创建合法支付卡的虚假副本。”
| 到了预定的时间,共犯便会用这些假卡从ATM取出被盗账户中的资金。 |
Cosmos银行总裁急于向客户保证该行账户是安全的:“我们的安全系统并未被黑,今年7月刚刚接受过印度央行(印度储备银行(RBI))的审查,是安全的。”
他表示:“在注意到多起不正常突发高额交易后,我行关闭了服务器和所有网上银行应用。”
| 这些交易发生在2小时13分钟内,范围涉及28个国家。攻击者用克隆卡取出每笔100美元到2500美元的资金。 |
正是RBI通告的Cosmos银行存在异常交易活动。
Lazarus组织一直以来都是全球多起SWIFT支付系统攻击案的背锅侠。最著名的案例就是它曾试图从孟加拉央行转账9.51亿美元。只不过,由于一个低级拼写错误被处理其中一起交易的代理银行职员发现,整个攻击活动才被及时阻止,但仍有部分款项没能追回。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
