FASTCash লিনাক্স ম্যালওয়্যার

উত্তর কোরিয়ার হুমকি অভিনেতারা FASTCash ম্যালওয়্যারের একটি পূর্বে অজানা লিনাক্স ভেরিয়েন্ট তৈরি করেছে, যা তারা আর্থিক প্রতিষ্ঠানের পেমেন্ট সুইচ সিস্টেমের সাথে আপস করার জন্য মোতায়েন করছে, অবৈধ নগদ উত্তোলনের সুবিধার্থে।

FASTCash-এর পূর্ববর্তী সংস্করণগুলি উইন্ডোজ এবং IBM AIX (Unix) সিস্টেমকে টার্গেট করার জন্য পরিচিত ছিল। যাইহোক, নিরাপত্তা গবেষক হ্যাক্সরবের সাম্প্রতিক প্রতিবেদন অনুসারে, একটি নতুন উন্মোচিত লিনাক্স ভেরিয়েন্ট এখন উবুন্টু 22.04 এলটিএস ডিস্ট্রিবিউশনকে লক্ষ্য করছে, এই সংস্করণটির প্রথম সনাক্তকরণ চিহ্নিত করে।

FASTCash ম্যালওয়্যার বছরের পর বছর ধরে এটিএমকে লক্ষ্য করে আসছে

ডিসেম্বর 2018-এ, CISA (সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি) FASTCash ATM ক্যাশ-আউট স্কিম সম্পর্কে তার প্রথম সতর্কতা জারি করেছে, এই কার্যকলাপের জন্য উত্তর কোরিয়ার রাষ্ট্র-স্পন্সরড হ্যাকিং গ্রুপকে দায়ী করেছে 'হিডেন কোবরা'। সংস্থার তদন্তে জানা গেছে যে হামলাকারীরা কমপক্ষে 2016 সাল থেকে FASTCash ব্যবহার করে, 30 টিরও বেশি দেশে একযোগে এটিএম প্রত্যাহার আক্রমণের আয়োজন করে, প্রতি অপারেশনে কয়েক মিলিয়ন ডলার চুরি করে।

2020 সালে, ইউএস সাইবার কমান্ড আবার অ্যালার্ম উত্থাপন করেছে, FASTCash 2.0 কার্যকলাপকে APT38 (Lazarus) এর সাথে পুনর্নবীকরণ করেছে। 2021 সালের মধ্যে, বিশ্বব্যাপী আর্থিক প্রতিষ্ঠান থেকে 1.3 বিলিয়ন ডলারের বেশি চুরির অভিযোগে তিনজন উত্তর কোরিয়ার ব্যক্তির জন্য অভিযুক্ত ঘোষণা করা হয়েছিল।

গবেষকদের দ্বারা চিহ্নিত একটি নতুন বৈকল্পিক

FASTCash-এর সর্বশেষ রূপ, জুন 2023-এ উন্মোচিত হয়েছে, এটির পূর্বসূরিদের Windows এবং AIX সিস্টেমকে লক্ষ্য করে অনেকগুলি অপারেশনাল বৈশিষ্ট্য শেয়ার করে। এই সংস্করণটি একটি শেয়ার্ড লাইব্রেরি হিসাবে উপস্থিত হয় যা একটি পেমেন্ট সুইচ সার্ভারে একটি চলমান প্রক্রিয়ায় ইনজেকশন করা হয়, নেটওয়ার্ক ফাংশনগুলিকে হুক করার জন্য 'ptrace' সিস্টেম কল ব্যবহার করে।

অর্থপ্রদানের সুইচগুলি মধ্যস্থতাকারী হিসাবে কাজ করে, এটিএম বা PoS টার্মিনাল এবং একটি ব্যাঙ্কের কেন্দ্রীয় সিস্টেমের মধ্যে লেনদেনের অনুরোধ এবং প্রতিক্রিয়াগুলিকে রাউটিং করে যোগাযোগের সুবিধা দেয়৷ ম্যালওয়্যারটি ISO8583 লেনদেন বার্তাগুলিকে আটকে এবং ম্যানিপুলেট করে এই সুইচগুলিকে কাজে লাগায়, যা আর্থিক শিল্পে ডেবিট এবং ক্রেডিট কার্ড প্রক্রিয়াকরণের জন্য অপরিহার্য৷

ম্যালওয়্যারটি বিশেষভাবে এমন বার্তাগুলিকে লক্ষ্য করে যা সাধারণত কার্ডধারীর অ্যাকাউন্টে অপর্যাপ্ত তহবিলের কারণে লেনদেন প্রত্যাখ্যান করে। এটি এই বার্তাগুলিকে সংশোধন করে, 'অস্বীকৃতি' প্রতিক্রিয়াকে 'অনুমোদন' প্রতিক্রিয়া দিয়ে প্রতিস্থাপন করে।

এছাড়াও, পরিবর্তিত বার্তাগুলি 12,000 থেকে 30,000 তুর্কি লিরা ($350 - $875) এর মধ্যে একটি এলোমেলোভাবে তোলার অনুমোদন দেয়৷ একবার ম্যানিপুলেটেড মেসেজ ব্যাঙ্কের কেন্দ্রীয় সিস্টেমে ফেরত পাঠানো হলে অনুমোদন কোড (DE38, DE39) এবং অনুমোদিত পরিমাণ (DE54) সহ, ব্যাঙ্ক লেনদেন অনুমোদন করে। হামলাকারীদের পক্ষে কাজ করা একটি টাকার খচ্চর তারপর এটিএম থেকে নগদ তুলে নেয়।

এটির আবিষ্কারের পর থেকে, এই লিনাক্স ভেরিয়েন্টটি বেশিরভাগ স্ট্যান্ডার্ড সুরক্ষা সরঞ্জামগুলিকে বাইপাস করে বলে বিশ্বাস করা হয়, যা আক্রমণকারীদের সনাক্ত না করেই প্রতারণামূলক লেনদেন করতে দেয়। সাইবারসিকিউরিটি বিশেষজ্ঞরাও এমন লক্ষণ খুঁজে পেয়েছেন যে হ্যাকাররা তাদের টুলসেটকে ক্রমাগত পরিমার্জন করছে, যার প্রমাণ 2024 সালের সেপ্টেম্বরে FASTCash-এর একটি নতুন উইন্ডোজ সংস্করণ আবির্ভূত হয়েছে।