Programari maliciós FASTCash Linux

Els actors de l'amenaça de Corea del Nord han desenvolupat una variant Linux prèviament desconeguda del programari maliciós FASTCash, que estan desplegant per comprometre els sistemes de canvi de pagament de les institucions financeres, facilitant les retirades il·lícites d'efectiu.

Se sabia que les versions anteriors de FASTCash s'orientaven a sistemes Windows i IBM AIX (Unix). No obstant això, segons un informe recent de l'investigador de seguretat HaxRob, una variant de Linux recentment descoberta està dirigida ara a les distribucions d'Ubuntu 22.04 LTS, marcant la primera detecció d'aquesta versió.

El programari maliciós FASTCash fa anys que es dirigeix als caixers automàtics

El desembre de 2018, CISA (Cybersecurity and Infrastructure Security Agency) va emetre el seu primer avís sobre l'esquema de cobrament dels caixers automàtics FASTCash, atribuint l'activitat al grup de pirateria patrocinat per l'estat de Corea del Nord anomenat "Hidden Cobra". Les investigacions de l'agència van revelar que els atacants feien servir FASTCash almenys des del 2016, orquestrant atacs simultanis de retirada de caixers automàtics en més de 30 països, robant desenes de milions de dòlars per operació.

El 2020, el Cyber Command dels EUA va tornar a activar les alarmes, vinculant la renovada activitat FASTCash 2.0 amb APT38 (Lazarus). El 2021, es van anunciar acusacions contra tres individus de Corea del Nord acusats de robar més de 1.300 milions de dòlars a institucions financeres a nivell mundial.

Una nova variant detectada pels investigadors

L'última variant de FASTCash, descoberta el juny de 2023, comparteix moltes característiques operatives amb els seus predecessors orientats als sistemes Windows i AIX. Aquesta versió apareix com una biblioteca compartida que s'injecta en un procés en execució en un servidor de commutació de pagament, utilitzant la trucada del sistema "ptrace" per connectar-se a les funcions de xarxa.

Els commutadors de pagament actuen com a intermediaris, facilitant la comunicació entre els caixers automàtics o terminals PoS i els sistemes centrals d'un banc mitjançant l'encaminament de sol·licituds i respostes de transaccions. El programari maliciós explota aquests interruptors interceptant i manipulant missatges de transaccions ISO8583, que són essencials per al processament de targetes de dèbit i crèdit al sector financer.

El programari maliciós s'adreça específicament als missatges que normalment rebutjaran les transaccions a causa de la falta de fons al compte del titular de la targeta. Modifica aquests missatges, substituint la resposta "rebutja" per una resposta "aprova".

A més, els missatges alterats autoritzen una quantitat de retirada aleatòria entre 12.000 i 30.000 lires turques (350 $ - 875 $). Un cop el missatge manipulat s'envia de nou als sistemes centrals del banc, inclosos els codis d'aprovació (DE38, DE39) i l'import autoritzat (DE54), el banc aprova la transacció. A continuació, una mula de diners que treballa en nom dels atacants retira els diners en efectiu d'un caixer automàtic.

Des del seu descobriment, es creu que aquesta variant de Linux passa per alt la majoria de les eines de seguretat estàndard, permetent als atacants dur a terme transaccions fraudulentes sense ser detectats. Els experts en ciberseguretat també han trobat signes que suggereixen que els pirates informàtics estan perfeccionant contínuament el seu conjunt d'eines, amb proves d'una nova versió de FASTCash per a Windows que va sorgir el setembre de 2024.