ក្រុមហេគឃ័រដែលមានទំនាក់ទំនងជាមួយកូរ៉េខាងជើងឈ្មោះថា Lazarus លួចប្រាក់ ១៣,៥ លានដុល្លារក្នុងការវាយប្រហារតាមអ៊ីនធឺណិតផ្តោតលើប្រព័ន្ធ SWIFT / ATM របស់ Cosmos Bank ។ អ្នកវាយប្រហារទំនងជាចូលប្រើប្រព័ន្ធរបស់ធនាគារតាមរយៈការលួចបន្លំ ឬគ្រប់គ្រងពីចម្ងាយដោយប្រើភាគីទីបី និងប្រើវិធីសាស្ត្រវាយប្រហារច្រើនដើម្បីលួចលុយ។ យោងតាមក្រុមអ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុន Securonix បញ្ជាក់ឱ្យដឹងថា ការលួចនេះកើតឡើងនៅចន្លោះថ្ងៃទី ១០ និងទី១៣ ខែសីហាឆ្នាំ ២០១៨ ។
គេជឿថា រដ្ឋាភិបាលកូរ៉េខាងជើងជាអ្នកគាំទ្រក្រុមហេគឃ័រ។ នៅឆ្នាំមុន ក្រុម Lazarus គំរាមកំហែងដ៏ធ្ងន់ធ្ងរបំផុតចំពោះធនាគារ។ នៅឆ្នាំនេះពួកហេគឃ័រផ្តោតយ៉ាងខ្លាំងលើការផ្លាស់ប្តូររូបិយប័ណ្ណ និងចូលរួមក្នុងការវាយប្រហារជាច្រើនប្រឆាំងនឹងអង្គភាពទាំងនោះ។ របាយការណ៍ថ្មីមួយបង្ហាញថា មេរោគភាគច្រើនមានប្រភពមកពីកូរ៉េខាងជើងអាចភ្ជាប់ទៅឱ្យក្រុម Lazarus តាមរយៈការប្រើកូដចាស់ឡើងវិញ។
ឥឡូវនេះក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាព Securonix បង្ហាញថា ក្រុម Lazarus ស្ថិតនៅពីក្រោយការវាយលើប្រហារអេធីអឹមធនាគារ ឬ SWIFT របស់ធនាគារ ពាក់ព័ន្ធនឹងធនាគារ Cosmos។ Cosmos ជាធនាគារសហប្រតិបត្តការមានអាយុ ១១២ ឆ្នាំក្នុងប្រទេសឥណ្ឌា និងជាធនាគារធំ ទី០២នៅក្នុងប្រទេស។ ផ្នែកមួយនៃឧបទ្ទវហេតុនេះគេជឿថា ក្រុមហេគឃ័រប្រើប្រាស់មូលដ្ឋានមេរោគរឹងមាំដែលបង្កើតឡើងនៅឆ្នាំមុន មុនពេលធ្វើឱ្យខូចខាតដល់ហេដ្ឋារចនាសម្ព័ន្ធផ្ទៃក្នុង និង ATM របស់ធនាគារនៅថ្ងៃទី ១០-១១ ខែសីហា។
ក្រុមហេគឃ័រនេះទំនងជាបំពានលើកម្មវិធីសាកល្បងម៉ាស៊ីនអេធីអឹមឬការផ្លាស់ប្តូរកម្មវិធីអេឡិចត្រូនិចទូទាត់អេធីអឹមដែលដាក់ឱ្យប្រើប្រាស់នាពេលបច្ចុប្បន្ននេះ។ពួកគេបង្កើតម៉ាស៊ីនអេធីអឹម និងម៉ាស៊ីនអេធីអឹមមេរោគ និងរំខានដល់ការតភ្ជាប់រវាង Switch Central និង Backend / Core Banking System (CBS) ។ ក្រោមកពួកគេធ្វើការកែតម្រូវសមតុល្យគណនីគោលដៅដើម្បីដកប្រាក់និងប្រើប្រាស់មេរោគមានគ្រោះថ្នាក់ដើម្បីដកទឹកប្រាក់ពីម៉ាស៊ីនអេធីអឹមមានចំនួនច្រើនជាង១១,៥ លានដុល្លារពីប្រតិបត្តិការក្នុងស្រុក និងអន្តរជាតិចំនួនរាប់ពាន់នាក់ ដោយប្រើប័ណ្ណឥណពន្ធ ដែលប្រើកាតចំនួន៤៥០ក្នុង ២៨ ប្រទេស។
មេរោគនេះត្រូវគេប្រើដើម្បីផ្ញើសារក្លែងក្លាយដើម្បីអនុញ្ញាតមានប្រតិបត្តិការ និងដើម្បីការពារព័ត៌មានលម្អិតដែលផ្ញើរពីការទូទាត់ទៅ CBS (ដូច្នេះការពិនិត្យលើលេខប័ណ្ណ PIN ស្ថានភាពកាត និងច្រើនទៀតមិនត្រូវបានអនុវត្ត) ។ នៅថ្ងៃទី១៣ ខែសីហាឆ្នាំ ២០១៨ (ក្រោយពីភេរវកររំលោភលើ SWIFT SAA ) ភ្នាក់ងាររំខានបំពានលើ បរិស្ថានធានារ៉ាប់រង LSO / RSO របស់ធនាគារ Cosmos ដើម្បីផ្ញើសំណើរការផ្ទេរសាច់ប្រាក់ទៅ ALM Trading Limited នៅធនាគារ Hang Seng ក្នុងទីក្រុងហុងកុង ដែលមានទឹកប្រាក់ប្រហែលពីលានដុល្លារ។
Switch អេធីអឹម ឬ POS របស់ធនាគារដែលសម្របសម្រួលក្នុងការវាយលើធនាគារ Cosmos គឺជាសមាសភាគមួយដែលជាធម្មតាផ្តល់ការគាំទ្រដល់ម៉ាស៊ីនអេធីអឹម / ម៉ាស៊ីនឆូតកាតដោយមានទំនាក់ទំនងទៅនឹងដំណោះស្រាយធនាគារស្នូល (CBS) ឬប្រព័ន្ធហិរញ្ញវត្ថុស្នូលមួយផ្សេងទៀត និងការភ្ជាប់ទៅនឹងតំបន់ ថ្នាក់ជាតិ ឬបណ្តាញអន្តរជាតិ។ គោលបំណងចម្បងរបស់ប្រព័ន្ធនេះគឺដើម្បីអនុវត្តការចាត់ចែង និងការសម្រេចចិត្តនាំផ្លូវ។
នៅក្នុងការផ្តោតលើហេដ្ឋារចនាសម្ព័ន្ធធនាគារជំនួសឱ្យកាតឥណទានមិនសូវសំខាន់ (CNP) ការក្លែងបន្លំ ឬបន្លំប្រអប់ខ្មៅ ការវាយប្រហារដែលមានការរៀបចំល្អ និងមានការសម្របសម្រួលខ្ពស់អាចជះឥទ្ធិពលយ៉ាងរឹងមាំដល់កម្រិតការពាររបស់ធនាគារពីការវាយប្រហារ លើ ម៉ាស៊ីន ATM ។ ក្រុមហ៊ុនសន្ដិសុខចាត់ទុកការវាយប្រហារនេះមានទំនាក់ទំនងទៅនឹងក្រុម Lazarus ដែលជាក្រុមមួយដែលត្រូវគេស្គាល់ថា អាចប្រើប្រាស់ Windows Admin Shares for Movement Side ប្រើ C & C បញ្ជាផ្ទាល់ និងម៉ាស៊ីនបញ្ជា (C & C) ផ្ទាល់ខ្លួនដែលធ្វើត្រាប់តាម TLS ប្រើប្រាស់សេវាកម្មវីនដូប្រើប្រាស់នូវ timestomping និងបញ្ចូល DLL រួមជាមួយបច្ចេកទេសវាយប្រហារផ្សេងទៀត៕
ប្រភព៖
https://www.securityweek.com/north-korea-linked-hackers-stole-135-million-cosmos-bank-report