Північнокорейські хакери зламують банки по всьому світу

Останнє оновлення Гру 1, 2022

Північнокорейська хакерська група BeagleBoyz знову почала грабувати банки через віддалений доступ із лютого 2020 року з метою фінансування північнокорейського режиму

Хакери з Північної Кореї, відомі як BeagleBoyz, використовують шкідливі інструменти віддаленого доступу, щоб вкрасти мільйони у міжнародних банків, згідно з висновком, опублікованим сьогодні кількома американськими урядовими агентствами.

У повідомленні сказано, що північнокорейська група хакерів BeagleBoyz знову почала грабувати банки через віддалений доступ з лютого 2020 року з метою фінансування північнокорейського режиму.

Хакери крали гроші за допомогою бага у банкоматах Santander

Баг дозволяв зловмисникам використовувати підроблені дебетові картки для зняття у банкоматах більшої кількості коштів, ніж було на балансі.

BeatleBoys в даний час нападає на банки в більш ніж 30 країнах світу в рамках схеми пограбування банків, що триває, намагаючись вкрасти 2 мільярди доларів, як заявили в твіттері US Cyber Command.

Країни, атаковані угрупуванням

“З лютого 2020 р. Північна Корея відновила цілеспрямовану роботу з банками багатьох країн з ініціювання шахрайських міжнародних грошових переказів та видачі готівки у банкоматах. Нещодавнє пожвавлення було за затишшям у банківському таргетуванні з кінця 2019 року", – йдеться у повідомленні.

Під час однієї з атак на банкомати хакерам з BeagleBoyz вдалося знімати готівку в банкоматах, керованих банками з десятків країн, у тому числі зі США.

Наприклад, їм вдалося викрасти $81 млн. у Банку Бангладеша у 2016 році. На щастя, Федеральний резервний банк Нью-Йорка зміг зупинити спробу переказу 1 млрд. дол. США після виявлення аномалій в інструкціях з переказу, отриманих від Банку Бангладеша.

Хакери показали як змусити популярні банкомати видавати гроші та дані клієнтів

Дослідники представили дві нові вразливості нульового дня у популярних банкоматах, які дозволяють отримати дані клієнтів банку, а також змусити банкомат «плюватися грошима».

BeagleBoyz входять до складу Генерального розвідувального бюро уряду Північної Кореї і діють принаймні з 2014 року, крадучи сотні мільйонів банків для фінансування режиму країни.

Діяльність BeagleBoyz перетинається з діяльністю інших груп, що відстежуються компаніями, що займаються питаннями кібербезпеки, включаючи APT38 (FireEye), Bluenoroff (Kaspersky), Lazarus Group (ESTSecurity) та Stardust Chollima (CrowdStrike).

Схема атаки BeagleBoyz

“BeagleBoyz” використовує різні інструменти та методи для отримання доступу до мережі фінансової установи, вивчення топології для виявлення ключових систем та монетизації їхнього доступу. Технічний аналіз, наведений вище, є об’єднанням безлічі відомих інцидентів, а не деталей однієї операції”, – сказали агентства.

Північні корейці були помічені під час використання широкого спектру методів для отримання доступу до систем жертв, включаючи різні види фішингу, а також соціальну інженерію, починаючи з 2018 року до початку 2020 року.

Можливо, вони також користувалися послугами кримінальних груп хакерів, таких як TA505, для початкового доступу до цільових фінансових установ, а через кілька місяців, в деяких випадках, здійснили заключну атаку на системи банків-жертв.

"Окрім пограбування традиційних фінансових установ, BeagleBoyz націлився на крипто-валютні біржі, щоб вкрасти велику кількість крипто-валют, які іноді оцінюються в сотні мільйонів доларів за один інцидент", – йдеться у консультативному висновку.