银行服务器遭到黑客攻击，诱使ATM机吐出数百万现金

“隐形眼镜蛇”又名拉扎勒斯集团和和平卫士，据信得到了朝鲜政府的支持，此前曾对世界各地的一些媒体组织、航空航天、金融和关键基础设施部门发动过袭击。

据报道，该组织还与去年关闭全球医院和大型企业的WannaCry勒索软件威胁、2016年的SWIFT银行攻击以及2014年的索尼影业黑客攻击有关。
现在，联邦调查局、国土安全部（DHS）和财政部已经公布了一次新的网络攻击的细节，称为快速现金“这条隐藏的眼镜蛇至少从2016年起就开始使用，通过破坏银行服务器来兑现ATM。

FASTCash黑客愚弄自动取款机吐出现金

调查人员分析了与FASTCash网络攻击相关的10个恶意软件样本，发现攻击者远程破坏目标银行内的支付“交换应用服务器”，以促进欺诈交易。

Switch application server是ATM和销售点基础设施的重要组成部分，它与核心银行系统进行通信，以验证请求交易的用户银行账户详细信息。
每当您在ATM机或零售店的PoS机上使用支付卡时，软件会要求银行的交换应用服务器（ISO 8583消息格式）验证交易—；接受或拒绝，取决于银行账户中的可用金额。

然而，隐藏的Cobra攻击者成功地破坏了不同银行的交换机应用程序服务器，在这些银行中，他们的账户（及其支付卡）活动最少或余额为零。

然后，安装在受损交换机应用服务器上的恶意软件会拦截与攻击者支付卡相关的交易请求，并以虚假但合法的肯定响应进行响应，而不会实际验证其与核心银行系统的可用余额，最终骗过自动取款机，在没有通知银行的情况下吐出大量现金。

“根据一位值得信赖的合作伙伴的估计，隐藏的眼镜蛇演员窃取了数千万美元，”报告说。

“在2017年的一次事件中，隐藏的眼镜蛇参与者使现金能够从30多个不同国家的ATM机上同时提取。在2018年的另一次事件中，隐藏的眼镜蛇参与者使现金能够从23个不同国家的ATM机上同时提取”。

隐藏的眼镜蛇威胁行动方正在利用FASTCash计划攻击非洲和亚洲的银行，不过美国当局仍在调查FASTCash事件，以确认袭击是否针对美国的银行。

攻击者如何设法破坏银行的交换机应用服务器

虽然最初用于危害银行网络的感染媒介尚不清楚，但美国当局认为，APT威胁参与者对不同银行的员工使用了含有恶意Windows可执行文件的矛式网络钓鱼电子邮件。

一旦打开，可执行文件就会用基于Windows的恶意软件感染银行员工的计算机，允许黑客使用合法凭据横向移动银行网络，并将恶意软件部署到支付交换机应用服务器上。
尽管发现大多数受损的交换机应用服务器运行的是不受支持的IBM Advanced Interactive eXecutive（AIX）操作系统版本，但调查人员没有发现任何证据表明攻击者利用了AIX操作系统中的任何漏洞。

US-CERT建议银行在任何用户可以访问交换机应用服务器之前强制进行双因素身份验证，并使用最佳做法保护其网络。

US-CERT还提供了一份可下载的IOC（泄露指标）副本，以帮助您阻止它们，并使网络防御减少隐藏眼镜蛇黑客组织的任何恶意网络活动。

2018年5月，US-CERT还发布了一条警告，提醒用户使用两种不同的恶意软件—远程访问特洛伊木马（RAT）称为乔纳普服务器消息块（SMB）蠕虫称为布拉姆布尔—链接到隐藏的眼镜蛇。

去年，国土安全部和联邦调查局也发布了一份警报，描述了隐藏的眼镜蛇恶意软件Delta Charlie—他们认为朝鲜使用DDoS工具对其目标发起分布式拒绝服务攻击。

过去与隐藏眼镜蛇相关的其他恶意软件包括Destover、Wild Positron或Duuzer，以及具有复杂功能的刽子手，如DDoS僵尸网络、键盘记录器、远程访问工具（RATs）和雨刷恶意软件。