FASTCash Linux Malware

Nordkoreanske trusselsaktører har udviklet en hidtil ukendt Linux-variant af FASTCash-malwaren, som de implementerer for at kompromittere finansielle institutioners betalingsomskiftersystemer, hvilket letter ulovlige kontanthævninger.

Tidligere versioner af FASTCash var kendt for at målrette mod Windows og IBM AIX (Unix) systemer. Men ifølge en nylig rapport fra sikkerhedsforsker HaxRob er en nyligt afsløret Linux-variant nu rettet mod Ubuntu 22.04 LTS-distributioner, hvilket markerer den første opdagelse af denne version.

FASTCash-malwaren har været rettet mod pengeautomater i årevis

I december 2018 udsendte CISA (Cybersecurity and Infrastructure Security Agency) sin første advarsel om FASTCash ATM-udbetalingsordningen, og tilskrev aktiviteten til den nordkoreanske statssponserede hackergruppe kaldet 'Hidden Cobra'. Undersøgelser foretaget af agenturet afslørede, at angriberne havde brugt FASTCash siden mindst 2016 og orkestreret samtidige hæveangreb fra hæveautomater i over 30 lande og stjålet titusindvis af millioner dollars pr. operation.

I 2020 rejste den amerikanske cyberkommando alarmer igen, og linkede fornyede FASTCash 2.0-aktiviteten til APT38 (Lazarus). I 2021 blev der annonceret anklager mod tre nordkoreanske personer, der er anklaget for at stjæle mere end 1,3 milliarder dollars fra finansielle institutioner globalt.

En ny variant opdaget af forskere

Den seneste variant af FASTCash, der blev afsløret i juni 2023, deler mange operationelle karakteristika med sine forgængere, der er målrettet mod Windows- og AIX-systemer. Denne version vises som et delt bibliotek, der injiceres i en kørende proces på en betalingsomskifterserver, ved at bruge 'ptrace'-systemkaldet til at tilslutte netværksfunktioner.

Betalingsomskiftere fungerer som mellemled og letter kommunikationen mellem pengeautomater eller PoS-terminaler og en banks centrale systemer ved at dirigere transaktionsanmodninger og -svar. Malwaren udnytter disse switches ved at opsnappe og manipulere ISO8583-transaktionsmeddelelser, som er afgørende for debet- og kreditkortbehandling i den finansielle industri.

Malwaren retter sig specifikt mod meddelelser, der normalt ville afvise transaktioner på grund af utilstrækkelige midler på en kortholders konto. Det ændrer disse meddelelser, og erstatter svaret 'afvis' med et 'godkend'-svar.

Derudover tillader de ændrede meddelelser et tilfældigt udbetalingsbeløb mellem 12.000 og 30.000 tyrkiske lira ($350 - $875). Når den manipulerede besked er sendt tilbage til bankens centrale systemer, inklusive godkendelseskoder (DE38, DE39) og det autoriserede beløb (DE54), godkender banken transaktionen. Et pengemule, der arbejder på vegne af angriberne, hæver derefter kontanterne fra en hæveautomat.

Siden dens opdagelse menes denne Linux-variant at omgå de fleste standard sikkerhedsværktøjer, hvilket gør det muligt for angribere at udføre svigagtige transaktioner uden opdagelse. Cybersikkerhedseksperter har også fundet tegn, der tyder på, at hackerne løbende forfiner deres værktøjssæt, med beviser for, at en ny Windows-version af FASTCash dukker op i september 2024.