උතුරු කොරියානු HIDDEN COBRA හැකර් කණ්ඩායමෙහි අලුත්ම සයිබර් ප්‍රහාරය

උතුරු කොරියානු රජය විසින් අනුග්‍රහය ලබන ලොව වඩාත් ජනප්‍රිය හැකර් කණඩායමක් වන “HIDDEN COBRA” නැමැති කණ්ඩායම විසින් නවතම සයිබර් ප්‍රහාරයක් පිළිබද පුවත් සැලවෙමින් පවතී. මෙම ප්‍රහාරය නම් කර තිබෙන්නේ “FASTCash” නමිනි.

මෙම ප්‍රහාරයන් වලදී FBI (Federal Bureau of Investigation) සහ DHS (United States Department of Homeland Security) සංවිධානයන් බරලතල අනතුරු ඇගවීම් නිකුත් කර ඇති අතර FASTCash සදහා භාවිතා වන මැල්වෙයා (FASTCash-Related Malware) පිළිබද පරීක්ෂා කරයි.

මෙහිදී ප්‍රහාරකයින් ස්වයංක්‍රීය ටේලර් යන්ත්‍ර (ATM Machine) පදනම් කර ගත් ප්‍රහාර අප්‍රිකාව හා ආසියානු බැංකු දෙසට යොමු වී ඇති බව විමර්ශණ වලදී හෙලි වී තිබේ. මීට පෙර අවස්ථා වලදී HIDDEN COBRA හැකර් කණ්ඩායම විසින් සිදු කරන ලද මෙවැනිම ප්‍රහාරයන් වලදී දසලක්ෂ සංඛ්‍යාත මුදල් සොරකම් කර ඇති අතර විවිධ රටවල් 30කට අධික ස්වයංක්‍රීය ටේලර් යන්ත්‍රවලින් එකවර මුදල් ආපසු ගැනීම සිදු කර ඇත.

FASTCash ක්‍රමය යටතේ වංචනික ගනුදෙනු සදහා පහසුකම් සැලසීමට ඉලක්ක කර ඇති බැංකු තුලට  "මාරු කිරීමේ යෙදුම් සේවාදායකයන්"(switch application servers) ගෙවීම් දුරස්තව යටපත් කරයි. ඉල්ලුම් කළ සේවාදායකය මාරු කිරීමේ ස්වයංක්රීය ටෙලර් යන්ත්‍ර හා දත්ත හුවමාරුව අත්‍යාවශ්‍ය අංගයක් වන අතර,අවශ්‍ය  වූ ගණුදෙනු සඳහා පරිශීලක ගිණුමේ තොරතුරු වලංගු කිරීම සඳහා ප්‍රධාන බැංකු පද්ධතිය සමඟ සන්නිවේදනය කළ යුතුය.

ඔබ ATM හෝ යම් කිසි සාප්පුවක Pos යන්ත්‍රයකින් ගෙවුම් කාඩ්පත භාවිතා කරන සෑම අවස්ථාවකදීම මෘදුකාංගය (ISO 8583 පණිවිඩ ආකෘතිවලින්) ඉල්ලා සිටින්නේ බැංකු හුවමාරු යෙදුම් සේවාදායකය (Servers) ඔබේ බැංකුවෙහි පවතින මුදල් ප්‍රමාණය අනුව ගණුදෙනුව වලංගු කිරීම සදහා භාරදීම හෝ ප්‍රතික්ෂේප කිරීමයි.

සම්මුතිගත මාරු කිරීම් යෙදවුම් සේවාදායකයින් (compromised switch application servers) විසින් ස්ථාපනය කරන ලද මැල්වෙයා, පුද්ගලයින්ගේ(Victim) ගෙවීම් කාඩ්පත් සමග සම්බන්ධ වී ඇති ගනුදෙනු ඉල්ලීම් අත්හිටුවන අතර ප්‍රධාන බැංකු පද්ධතීන් සමග ඔවුන්ගේ පවත්නා ශේෂයන් සත්‍ය වශයෙන්ම වලංගු කර ගැනීම මගින් ව්‍යාජ නමුත් නීත්‍යානුකූල පෙනුමක් ලබා දෙමින් ප්‍රතිචාර ස්ථීර කර ATM හරහා ලබා ගනී.

මාරු කිරීම් යෙදවුම් සේවාදායකයින් (compromised switch application servers) ක්‍රියාකාරීත්වය

බැංකු ජාලවන් අවහිර කිරීමට ආරම්භක ආසාදිත(Initial infection vector) වාහකයක් නොතිබුනද APT තර්ජනකරුවන් (APT Threat Actors) අනර්තකාරී කේතයන් සහිත Spear-phishing විද්‍යුත් ලිපි (spear-phishing emails containing malicious code) යොදාගෙන ඇත. මෙම ලිපි විවෘත කල පසු මෙම අනර්ථකාරී කේතයන් මගින් ලබා දුන් විධානයන් වින්ඩෝස් පරිඝණකයන් තුල ධාවනය වී (running malicious code) එම පරිඝණකයන් අත්පත් කර ගැනීම මගින් බැංකු ජාලය හරහා සිදුවන ගණුදෙනු හුවමාරු යෙදවුම් සේවාදායකය (compromised switch application server) හරහා යොමු කෙරේ.

බොහෝ හුවමාරු යෙදවුම් සේවාදායකයන් (compromised switch application server) IBM Advanced Interactive eXecutive මෙහෙයුම් පද්ධති අනුවාදයන් සොයාගෙන ඇති අතර ප්‍රහාරකයින් විසින් AIX මෙහෙයුම් පද්ධතියේ දුර්වලතාවයන් (vulnerabilities) උපයෝගී කර ගත් බවට සාක්ෂීන් සොයාගෙන නැත.

සබැදියන් : https://gbhackers.com/fastcash-attack/
                  https://thehackernews.com/2018/10/bank-atm-hacking.html