برامج ضارة لنظام FASTCash Linux
قام جهات تهديد من كوريا الشمالية بتطوير نسخة غير معروفة سابقًا من برنامج FASTCash الخبيث الذي يعمل على نظام Linux، والذي يقومون بنشره لاختراق أنظمة تحويل الدفع للمؤسسات المالية، مما يسهل عمليات سحب الأموال غير المشروعة.
كان من المعروف أن الإصدارات السابقة من FASTCash تستهدف أنظمة Windows وIBM AIX (Unix). ومع ذلك، وفقًا لتقرير حديث صادر عن باحث أمني HaxRob، فإن أحد المتغيرات التي تم اكتشافها حديثًا لنظام Linux تستهدف الآن توزيعات Ubuntu 22.04 LTS، مما يمثل أول اكتشاف لهذا الإصدار.
يستهدف برنامج FASTCash الخبيث أجهزة الصراف الآلي منذ سنوات
في ديسمبر 2018، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية أول تحذير لها بشأن مخطط سحب الأموال من ماكينات الصراف الآلي FASTCash، ونسبت النشاط إلى مجموعة القرصنة التي ترعاها الدولة الكورية الشمالية والتي تسمى "Hidden Cobra". كشفت التحقيقات التي أجرتها الوكالة أن المهاجمين كانوا يستخدمون FASTCash منذ عام 2016 على الأقل، حيث نظموا هجمات سحب متزامنة من ماكينات الصراف الآلي في أكثر من 30 دولة، وسرقوا عشرات الملايين من الدولارات لكل عملية.
في عام 2020، أطلقت القيادة السيبرانية الأمريكية ناقوس الخطر مرة أخرى، وربطت بين نشاط FASTCash 2.0 المتجدد وAPT38 (Lazarus). وبحلول عام 2021، تم الإعلان عن توجيه اتهامات لثلاثة أفراد من كوريا الشمالية متهمين بسرقة أكثر من 1.3 مليار دولار من المؤسسات المالية على مستوى العالم.
متحور جديد يكتشفه الباحثون
تشترك النسخة الأحدث من FASTCash، التي تم الكشف عنها في يونيو 2023، في العديد من الخصائص التشغيلية مع الإصدارات السابقة التي تستهدف أنظمة Windows وAIX. تظهر هذه النسخة كمكتبة مشتركة يتم حقنها في عملية جارية على خادم تبديل الدفع، باستخدام نداء النظام "ptrace" للربط بوظائف الشبكة.
تعمل مفاتيح الدفع كوسطاء، مما يسهل الاتصال بين أجهزة الصراف الآلي أو محطات نقاط البيع والأنظمة المركزية للبنك من خلال توجيه طلبات المعاملات والاستجابات لها. يستغل البرنامج الخبيث هذه المفاتيح عن طريق اعتراض رسائل المعاملات ISO8583 والتلاعب بها، والتي تعد ضرورية لمعالجة بطاقات الخصم والائتمان في الصناعة المالية.
تستهدف البرامج الضارة بشكل خاص الرسائل التي عادة ما ترفض المعاملات بسبب عدم كفاية الأموال في حساب حامل البطاقة. وتقوم بتعديل هذه الرسائل، واستبدال استجابة "الرفض" باستجابة "الموافقة".
وبالإضافة إلى ذلك، تسمح الرسائل المعدلة بسحب مبلغ عشوائي يتراوح بين 12 ألفاً و30 ألف ليرة تركية (350 إلى 875 دولاراً أميركياً). وبمجرد إعادة إرسال الرسالة المعدلة إلى الأنظمة المركزية للبنك، بما في ذلك أكواد الموافقة (DE38، DE39) والمبلغ المصرح به (DE54)، يوافق البنك على المعاملة. ثم يقوم أحد المهربين الذي يعمل لصالح المهاجمين بسحب النقود من ماكينة الصراف الآلي.
منذ اكتشافه، يُعتقد أن هذا الإصدار من Linux يتجاوز معظم أدوات الأمان القياسية، مما يسمح للمهاجمين بإجراء معاملات احتيالية دون اكتشافها. كما وجد خبراء الأمن السيبراني علامات تشير إلى أن المتسللين يعملون باستمرار على تحسين مجموعة أدواتهم، مع وجود دليل على ظهور إصدار جديد لنظام Windows من FASTCash في سبتمبر 2024.
