Κακόβουλο λογισμικό FASTCash Linux

Οι φορείς απειλών της Βόρειας Κορέας έχουν αναπτύξει μια άγνωστη παραλλαγή Linux του κακόβουλου λογισμικού FASTCash, την οποία αναπτύσσουν για να υπονομεύσουν τα συστήματα μεταγωγής πληρωμών των χρηματοπιστωτικών ιδρυμάτων, διευκολύνοντας τις παράνομες αναλήψεις μετρητών.

Οι προηγούμενες εκδόσεις του FASTCash ήταν γνωστό ότι στόχευαν τα συστήματα Windows και IBM AIX (Unix). Ωστόσο, σύμφωνα με μια πρόσφατη αναφορά του ερευνητή ασφάλειας HaxRob, μια παραλλαγή Linux που ανακαλύφθηκε πρόσφατα στοχεύει τώρα τις διανομές Ubuntu 22.04 LTS, σηματοδοτώντας τον πρώτο εντοπισμό αυτής της έκδοσης.

Το κακόβουλο λογισμικό FASTCash στοχεύει τα ΑΤΜ εδώ και χρόνια

Τον Δεκέμβριο του 2018, η CISA (Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών) εξέδωσε την πρώτη της προειδοποίηση σχετικά με το πρόγραμμα εξαργύρωσης FASTCash ATM, αποδίδοντας τη δραστηριότητα στην ομάδα hacking που χρηματοδοτείται από το κράτος της Βόρειας Κορέας που ονομάζεται «Hidden Cobra». Έρευνες από την υπηρεσία αποκάλυψαν ότι οι επιτιθέμενοι χρησιμοποιούσαν FASTCash τουλάχιστον από το 2016, ενορχηστρώνοντας ταυτόχρονες επιθέσεις ανάληψης ATM σε περισσότερες από 30 χώρες, κλέβοντας δεκάδες εκατομμύρια δολάρια ανά επιχείρηση.

Το 2020, η Διοίκηση Cyber των ΗΠΑ σήμανε ξανά συναγερμό, συνδέοντας την ανανεωμένη δραστηριότητα FASTCash 2.0 με το APT38 (Lazarus). Μέχρι το 2021, ανακοινώθηκαν κατηγορίες για τρία άτομα της Βόρειας Κορέας που κατηγορούνται για κλοπή άνω των 1,3 δισεκατομμυρίων δολαρίων από χρηματοπιστωτικά ιδρύματα παγκοσμίως.

Μια νέα παραλλαγή που εντοπίστηκε από ερευνητές

Η τελευταία παραλλαγή του FASTCash, που αποκαλύφθηκε τον Ιούνιο του 2023, μοιράζεται πολλά λειτουργικά χαρακτηριστικά με τους προκατόχους της που στοχεύουν συστήματα Windows και AIX. Αυτή η έκδοση εμφανίζεται ως μια κοινόχρηστη βιβλιοθήκη που εισάγεται σε μια διαδικασία που εκτελείται σε έναν διακομιστή μεταγωγής πληρωμών, χρησιμοποιώντας την κλήση συστήματος 'ptrace' για να συνδεθεί σε λειτουργίες δικτύου.

Οι διακόπτες πληρωμής λειτουργούν ως μεσάζοντες, διευκολύνοντας την επικοινωνία μεταξύ των ATM ή των τερματικών PoS και των κεντρικών συστημάτων μιας τράπεζας δρομολογώντας αιτήματα και απαντήσεις συναλλαγών. Το κακόβουλο λογισμικό εκμεταλλεύεται αυτούς τους διακόπτες παρεμποδίζοντας και χειραγωγώντας μηνύματα συναλλαγών ISO8583, τα οποία είναι απαραίτητα για την επεξεργασία χρεωστικών και πιστωτικών καρτών στον χρηματοπιστωτικό κλάδο.

Το κακόβουλο λογισμικό στοχεύει συγκεκριμένα μηνύματα που κανονικά θα απέρριπταν τις συναλλαγές λόγω ανεπαρκών κεφαλαίων στον λογαριασμό του κατόχου της κάρτας. Τροποποιεί αυτά τα μηνύματα, αντικαθιστώντας την απάντηση «απόρριψης» με μια απάντηση «έγκριση».

Επιπλέον, τα τροποποιημένα μηνύματα επιτρέπουν ένα τυχαίο ποσό ανάληψης μεταξύ 12.000 και 30.000 τουρκικών λιρών ($350 - $875). Μόλις το παραποιημένο μήνυμα σταλεί πίσω στα κεντρικά συστήματα της τράπεζας, συμπεριλαμβανομένων των κωδικών έγκρισης (DE38, DE39) και του εξουσιοδοτημένου ποσού (DE54), η τράπεζα εγκρίνει τη συναλλαγή. Ένα μουλάρι χρημάτων που εργάζεται για λογαριασμό των επιτιθέμενων αποσύρει τα μετρητά από ένα ΑΤΜ.

Από την ανακάλυψή της, αυτή η παραλλαγή Linux πιστεύεται ότι παρακάμπτει τα περισσότερα τυπικά εργαλεία ασφαλείας, επιτρέποντας στους εισβολείς να πραγματοποιούν δόλιες συναλλαγές χωρίς εντοπισμό. Οι ειδικοί στον τομέα της κυβερνοασφάλειας βρήκαν επίσης σημάδια που υποδηλώνουν ότι οι χάκερ βελτιώνουν συνεχώς το σύνολο εργαλείων τους, με στοιχεία για μια νέα έκδοση του FASTCash για Windows που εμφανίζεται τον Σεπτέμβριο του 2024.