ក្រុមហេគឃ័រមានទំនាក់ទំនងជាមួយប្រទេសកូរ៉េខាងជើងលួចលុយ 13,5 លានដុល្លារពីធនាគារ Cosmos Bank

0

ក្រុមហេគឃ័រដែលមានទំនាក់ទំនងជាមួយកូរ៉េខាងជើងឈ្មោះថា Lazarus លួចប្រាក់ ១៣,៥ លានដុល្លារក្នុងការវាយប្រហារតាមអ៊ីនធឺណិតផ្តោតលើប្រព័ន្ធ SWIFT / ATM របស់ Cosmos Bank ។ អ្នកវាយប្រហារទំនងជាចូលប្រើប្រព័ន្ធរបស់ធនាគារតាមរយៈការលួចបន្លំ ឬគ្រប់គ្រងពីចម្ងាយដោយប្រើភាគីទីបី និងប្រើវិធីសាស្ត្រវាយប្រហារច្រើនដើម្បីលួចលុយ។ យោងតាមក្រុមអ្នក​ស្រាវ​ជ្រាវ​មកពីក្រុមហ៊ុន Securonix បញ្ជាក់ឱ្យដឹងថា ការលួចនេះកើតឡើងនៅចន្លោះថ្ងៃទី ១០ និងទី១៣ ខែសីហាឆ្នាំ ២០១៨ ។

គេជឿថា រដ្ឋាភិបាលកូរ៉េខាងជើងជាអ្នកគាំទ្រក្រុមហេគឃ័រ។ នៅឆ្នាំមុន ក្រុម Lazarus គំរាមកំហែងដ៏ធ្ងន់ធ្ងរបំផុតចំពោះធនាគារ។ នៅឆ្នាំនេះពួកហេគឃ័រផ្តោតយ៉ាងខ្លាំង​លើការ​ផ្លាស់ប្តូររូបិយប័ណ្ណ និងចូលរួមក្នុងការវាយប្រហារជាច្រើនប្រឆាំងនឹងអង្គភាពទាំងនោះ។ របាយការណ៍ថ្មីមួយបង្ហាញថា មេរោគភាគច្រើនមានប្រភពមកពីកូរ៉េខាងជើងអាចភ្ជាប់ទៅឱ្យក្រុម Lazarus តាមរយៈការប្រើកូដចាស់ឡើងវិញ។

ឥឡូវនេះក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាព Securonix បង្ហាញថា​  ក្រុម Lazarus ស្ថិតនៅពីក្រោយ​ការវាយលើប្រហារអេធីអឹមធនាគារ ឬ SWIFT របស់ធនាគារ ពាក់ព័ន្ធនឹង​ធនាគារ Cosmos។ Cosmos ជាធនាគារសហប្រតិបត្តការមានអាយុ ១១២ ឆ្នាំក្នុងប្រទេសឥណ្ឌា និងជាធនាគារធំ ទី០២នៅក្នុងប្រទេស។ ផ្នែកមួយនៃឧបទ្ទវហេតុនេះគេជឿថា ក្រុមហេគឃ័រប្រើប្រាស់​មូលដ្ឋានមេរោគរឹងមាំ​ដែលបង្កើតឡើងនៅឆ្នាំមុន មុនពេលធ្វើឱ្យខូចខាតដល់ហេដ្ឋារចនាសម្ព័ន្ធផ្ទៃក្នុង និង ATM របស់ធនាគារនៅថ្ងៃទី ១០-១១ ខែសីហា។

ក្រុមហេគឃ័រនេះទំនងជាបំពានលើកម្មវិធីសាកល្បងម៉ាស៊ីនអេធីអឹមឬការផ្លាស់ប្តូរកម្មវិធីអេឡិចត្រូនិចទូទាត់អេធីអឹមដែលដាក់ឱ្យប្រើប្រាស់នាពេលបច្ចុប្បន្ននេះ។ពួកគេបង្កើតម៉ាស៊ីនអេធីអឹម និងម៉ាស៊ីនអេធីអឹមមេរោគ និងរំខានដល់ការតភ្ជាប់រវាង Switch Central និង Backend / Core Banking System (CBS) ។ ក្រោមកពួកគេធ្វើការកែតម្រូវសមតុល្យគណនីគោលដៅដើម្បីដកប្រាក់និងប្រើប្រាស់មេរោគមានគ្រោះថ្នាក់ដើម្បីដកទឹកប្រាក់ពីម៉ាស៊ីនអេធីអឹមមានចំនួនច្រើនជាង​១១,៥ លានដុល្លារ​ពីប្រតិបត្តិការក្នុងស្រុក និងអន្តរជាតិចំនួនរាប់ពាន់នាក់ ដោយប្រើប័ណ្ណឥណពន្ធ ដែលប្រើកាតចំនួន៤៥០ក្នុង ២៨  ប្រទេស។

មេរោគនេះត្រូវគេប្រើដើម្បីផ្ញើសារក្លែងក្លាយដើម្បីអនុញ្ញាតមានប្រតិបត្តិការ និងដើម្បីការពារព័ត៌មានលម្អិតដែលផ្ញើរពីការទូទាត់ទៅ CBS (ដូច្នេះការពិនិត្យលើលេខប័ណ្ណ PIN ស្ថានភាពកាត និងច្រើនទៀតមិនត្រូវបានអនុវត្ត) ។ នៅថ្ងៃទី១៣  ខែសីហាឆ្នាំ ២០១៨ (ក្រោយពីភេរវកររំលោភលើ SWIFT SAA ) ភ្នាក់ងាររំខានបំពានលើ បរិស្ថានធានារ៉ាប់រង LSO / RSO របស់ធនាគារ Cosmos ដើម្បីផ្ញើសំណើរការផ្ទេរសាច់ប្រាក់ទៅ ALM Trading Limited នៅធនាគារ Hang Seng ក្នុងទីក្រុងហុងកុង ដែលមានទឹកប្រាក់ប្រហែលពីលានដុល្លារ។

Switch អេធីអឹម ឬ POS របស់ធនាគារ​ដែលសម្របសម្រួលក្នុងការវាយលើធនាគារ Cosmos គឺជាសមាសភាគមួយដែលជាធម្មតាផ្តល់ការគាំទ្រដល់ម៉ាស៊ីនអេធីអឹម / ម៉ាស៊ីនឆូតកាត​ដោយមានទំនាក់ទំនងទៅនឹងដំណោះស្រាយធនាគារស្នូល (CBS) ឬប្រព័ន្ធហិរញ្ញវត្ថុស្នូល​មួយផ្សេងទៀត និងការភ្ជាប់ទៅនឹងតំបន់ ថ្នាក់ជាតិ ឬបណ្តាញអន្តរជាតិ។ គោលបំណង​ចម្បងរបស់ប្រព័ន្ធនេះគឺដើម្បីអនុវត្តការចាត់ចែង និងការសម្រេចចិត្តនាំផ្លូវ។

នៅក្នុងការផ្តោតលើហេដ្ឋារចនាសម្ព័ន្ធធនាគារជំនួសឱ្យកាតឥណទានមិនសូវសំខាន់ (CNP) ការក្លែងបន្លំ ឬបន្លំប្រអប់ខ្មៅ ការវាយប្រហារដែលមានការរៀបចំល្អ    ​និងមានការ​សម្រប​សម្រួលខ្ពស់​អាចជះឥទ្ធិពលយ៉ាងរឹងមាំដល់កម្រិតការពាររបស់ធនាគារ​ពីការវាយប្រហារ លើ ម៉ាស៊ីន ATM ។ ក្រុមហ៊ុនសន្ដិសុខចាត់ទុកការវាយប្រហារនេះមានទំនាក់ទំនងទៅនឹងក្រុម Lazarus ដែលជាក្រុមមួយដែលត្រូវគេស្គាល់ថា អាចប្រើប្រាស់ Windows Admin Shares for Movement Side ប្រើ C & C បញ្ជាផ្ទាល់  និងម៉ាស៊ីនបញ្ជា (C & C) ផ្ទាល់ខ្លួន​ដែលធ្វើត្រាប់​តាម TLS ប្រើប្រាស់សេវាកម្មវីនដូប្រើប្រាស់នូវ timestomping និងបញ្ចូល DLL រួមជាមួយបច្ចេក​ទេសវាយប្រហារផ្សេងទៀត៕

ប្រភព៖

https://www.securityweek.com/north-korea-linked-hackers-stole-135-million-cosmos-bank-report

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here