FASTCash Linux Malware

Severokorejští aktéři hrozeb vyvinuli dříve neznámou linuxovou variantu malwaru FASTCash, kterou nasazují ke kompromitaci systémů platebních přepínačů finančních institucí a usnadňují nezákonné výběry hotovosti.

Bylo známo, že dřívější verze FASTCash se zaměřovaly na systémy Windows a IBM AIX (Unix). Podle nedávné zprávy bezpečnostního výzkumníka HaxRoba se však nově odhalená varianta Linuxu nyní zaměřuje na distribuce Ubuntu 22.04 LTS, což znamená první detekci této verze.

Malware FASTCash se zaměřuje na bankomaty již léta

V prosinci 2018 vydala CISA (Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury) své první varování před schématem výběru peněz z bankomatů FASTCash, přičemž tuto aktivitu připsala severokorejské státem sponzorované hackerské skupině s názvem ‚Hidden Cobra‘. Vyšetřování agentury odhalilo, že útočníci používali FASTCash minimálně od roku 2016, organizovali simultánní útoky na výběr z bankomatů ve více než 30 zemích a kradli desítky milionů dolarů na operaci.

V roce 2020 americké kybernetické velení znovu vyvolalo poplach a propojilo obnovenou aktivitu FASTCash 2.0 s APT38 (Lazarus). Do roku 2021 byla oznámena obvinění tří severokorejských jednotlivců obviněných z krádeže více než 1,3 miliardy dolarů od finančních institucí po celém světě.

Nová varianta, kterou objevili výzkumníci

Nejnovější varianta FASTCash, odhalená v červnu 2023, sdílí mnoho provozních charakteristik se svými předchůdci zaměřenými na systémy Windows a AIX. Tato verze se zobrazuje jako sdílená knihovna, která je vložena do běžícího procesu na serveru pro přepínání plateb pomocí systémového volání „ptrace“ k připojení k síťovým funkcím.

Platební přepínače fungují jako prostředníci, kteří usnadňují komunikaci mezi bankomaty nebo PoS terminály a centrálními systémy banky směrováním transakčních požadavků a odpovědí. Malware tyto přepínače využívá k zachycování a manipulaci se zprávami o transakcích ISO8583, které jsou nezbytné pro zpracování debetních a kreditních karet ve finančním průmyslu.

Malware se konkrétně zaměřuje na zprávy, které by za normálních okolností odmítly transakce kvůli nedostatku prostředků na účtu držitele karty. Upravuje tyto zprávy a nahrazuje odpověď „odmítnout“ odpovědí „schválit“.

Kromě toho pozměněné zprávy opravňují k náhodnému výběru částky mezi 12 000 a 30 000 tureckými lirami (350 – 875 USD). Jakmile je zmanipulovaná zpráva odeslána zpět do centrálních systémů banky, včetně schvalovacích kódů (DE38, DE39) a autorizované částky (DE54), banka transakci schválí. Peněžní mezek pracující jménem útočníků pak vybere hotovost z bankomatu.

Od svého objevení se věří, že tato varianta Linuxu obchází většinu standardních bezpečnostních nástrojů a umožňuje útočníkům provádět podvodné transakce bez odhalení. Odborníci na kybernetickou bezpečnost také našli známky naznačující, že hackeři neustále zdokonalují svou sadu nástrojů, přičemž v září 2024 se objevila nová verze FASTCash pro Windows.