De Amerikaanse overheid heeft een waarschuwing afgegeven voor een "Noord-Koreaanse groep" genaamd BeagleBoyz die wereldwijd banken zou aanvallen met als doel het legen van geldautomaten en uitvoeren van frauduleuze financiële transacties. De groep zou al sinds 2015 actief zijn en wordt onder andere verantwoordelijk gehouden voor de diefstal van 81 miljoen dollar van een bank in Bangladesh in 2016.

Volgens het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), het ministerie van Financiën, de FBI en het U.S. Cyber Command (USCYBERCOM) staat de groep in dienst van de Noord-Koreaanse overheid en heeft die overlap met groepen die door securitybedrijven worden aangeduid als Lazarus, Advanced Persistent Threat 38 (APT38), Bluenoroff en Stardust Chollima.

Sinds februari is de groep weer zeer actief en heeft banken in meerdere landen aangevallen, aldus de waarschuwing. Daarbij maken de aanvallers gebruik van social engineering. Aangevallen banken ontvangen e-mails met zogenaamde sollicitaties die malafide bestanden bevatten. Het gaat dan om bestanden als Euronet_Application.rar, ApplicationPDF.zip, ApplicationPDF.exe, Application.exe en CuscalApplication.exe, zo blijkt uit de advisory van de Amerikaanse overheidsinstanties.

Zodra een systeem van de bank met malware is geïnfecteerd proberen de aanvallers andere systemen in het banknetwerk over te nemen. Het uiteindelijke doel is het compromitteren van payment switch application servers, die berichten voor financiële transacties uitwisselen, en SWIFT-terminals.

Door het compromitteren van de payment switch application servers kunnen de aanvallers een zogeheten "ATM cash-out" faciliteren. Een katvanger bij een geldautomaat wil geld opnemen. De geldautomaat stuurt vervolgens een bericht naar de payment switch application server om de transactie te controleren. Malware die door de BeagleBoyz op het systeem is geplaatst herkent de rekening van de katvanger en zorgt dat het bericht niet door de server wordt verwerkt. In plaats daarvan verstuurt de malware een malafide respons naar de geldautomaat dat de transactie is goedgekeurd en kan de katvanger het geld opnemen. Bij een dergelijke operatie worden wereldwijd vanaf allerlei rekeningen tegelijkertijd geld opgenomen.

Het andere doelwit zijn SWIFT-terminals. De Society for Worldwide Interbank Financial Telecommunication (SWIFT) is een internationale coöperatieve organisatie voor internationale banktransacties. Banken kunnen via het SWIFT-systeem transacties uitvoeren. Via de gecompromitteerde banksystemen weten de aanvallers toegang tot het SWIFT-systeem van de bank te krijgen en voeren vervolgens frauduleuze transacties uit.

Om geen sporen achter te laten maken de aanvallers soms gebruik van wipers of proberen op andere manieren systemen te manipuleren. Een Afrikaanse bank die in 2018 doelwit van een aanval werd had bijna twee maanden nodig voordat klanten weer op een normale manier van geld- en betaalautomaten gebruik konden maken. Bij een bank in Chili rolden de aanvallers wiper-malware uit, die allerlei data van systemen wiste. Hierdoor crashten duizenden computers en servers.

Van 2015 tot en met dit jaar zijn banken in onder andere Argentinië, Brazilië, Bangladesh, Bosnië en Herzegovina, Bulgarije, Chili, Costa Rica, Ecuador, Ghana, India, Indonesië, Japan, Jordanië, Kenia, Koeweit, Maleisië, Malta, Mexico, Mozambique, Nepal, Nicaragua, Nigeria, Pakistan, Panama, Peru, Filipijnen, Singapore, Zuid-Afrika, Spanje, Taiwan, Tanzania, Togo, Turkije, Oeganda, Uruguay, Vietnam en Zambia door de groep aangevallen, zo laat de waarschuwing weten.

Naast een gedetailleerde beschrijving van hoe de aanvallers in gecompromitteerde netwerken te werk gaan, geven de Amerikaanse overheidsinstanties ook advies aan banken om hun systemen te beveiligen en hoe gecompromitteerde computers zijn te identificeren.