FASTCash Linux зловреден софтуер

Севернокорейските заплахи са разработили неизвестен досега Linux вариант на зловреден софтуер FASTCash, който те внедряват, за да компрометират системите за превключване на плащанията на финансовите институции, улеснявайки незаконното теглене на пари в брой.

Известно е, че по-ранните версии на FASTCash са насочени към Windows и IBM AIX (Unix) системи. Въпреки това, според скорошен доклад на изследователя по сигурността HaxRob, новооткрит вариант на Linux вече е насочен към дистрибуции на Ubuntu 22.04 LTS, отбелязвайки първото откриване на тази версия.

Зловреден софтуер FASTCash е насочен към банкомати от години

През декември 2018 г. CISA (Агенция за киберсигурност и сигурност на инфраструктурата) издаде първото си предупреждение относно схемата за теглене на банкомат FASTCash, приписвайки дейността на спонсорираната от държавата хакерска група в Северна Корея, наречена „Скрита кобра“. Разследванията на агенцията разкриха, че нападателите са използвали FASTCash поне от 2016 г., като са организирали едновременни атаки за теглене на банкомати в над 30 държави, открадвайки десетки милиони долари на операция.

През 2020 г. киберкомандването на САЩ отново алармира, свързвайки подновената дейност FASTCash 2.0 с APT38 (Lazarus). До 2021 г. бяха обявени обвинения срещу трима севернокорейски лица, обвинени в кражба на повече от 1,3 милиарда долара от финансови институции в световен мащаб.

Нов вариант, забелязан от изследователи

Най-новият вариант на FASTCash, разкрит през юни 2023 г., споделя много оперативни характеристики със своите предшественици, насочени към Windows и AIX системи. Тази версия се появява като споделена библиотека, която се инжектира в работещ процес на сървър за превключване на плащания, използвайки системното извикване „ptrace“ за свързване към мрежови функции.

Платежните комутатори действат като посредници, улеснявайки комуникацията между банкомати или PoS терминали и централните системи на банката чрез маршрутизиране на заявки за транзакции и отговори. Зловреден софтуер използва тези превключватели, като прихваща и манипулира съобщения за транзакции по ISO8583, които са от съществено значение за обработката на дебитни и кредитни карти във финансовата индустрия.

Зловредният софтуер е насочен конкретно към съобщения, които обикновено биха отказали транзакции поради недостатъчни средства в сметката на картодържател. Той променя тези съобщения, като заменя отговора „отхвърляне“ с отговор „одобрение“.

В допълнение, променените съобщения разрешават произволна сума за теглене между 12 000 и 30 000 турски лири ($350 - $875). След като манипулираното съобщение бъде изпратено обратно до централните системи на банката, включително кодовете за одобрение (DE38, DE39) и разрешената сума (DE54), банката одобрява транзакцията. Парично муле, работещо от името на нападателите, след това тегли парите в брой от банкомат.

От откриването си се смята, че този вариант на Linux заобикаля повечето стандартни инструменти за сигурност, позволявайки на нападателите да извършват измамни транзакции без откриване. Експертите по киберсигурност също са открили признаци, които предполагат, че хакерите непрекъснато усъвършенстват своя набор от инструменти, с доказателства за нова версия на FASTCash за Windows, която се появява през септември 2024 г.