FASTCash Linuxi pahavara

Põhja-Korea ohus osalejad on välja töötanud varem tundmatu FASTCashi pahavara Linuxi variandi, mida nad kasutavad finantsasutuste maksete vahetamise süsteemide kompromiteerimiseks, hõlbustades sularaha ebaseaduslikku väljavõtmist.

FASTCashi varasemad versioonid sihivad teadaolevalt Windowsi ja IBM AIX (Unix) süsteeme. Kuid turvauurija HaxRobi hiljutise raporti kohaselt on äsja paljastatud Linuxi variant nüüd suunatud Ubuntu 22.04 LTS-i distributsioonidele, mis tähistab selle versiooni esimest tuvastamist.

FASTCashi pahavara on juba aastaid sihikule võtnud sularahaautomaate

2018. aasta detsembris andis CISA (küberturvalisuse ja infrastruktuuri turbeagentuur) välja oma esimese hoiatuse FASTCashi sularahaautomaadi väljamaksmisskeemi kohta, omistades tegevuse Põhja-Korea riiklikult toetatavale häkkimisgrupile nimega "Hidden Cobra". Agentuuri uurimised näitasid, et ründajad olid FASTCashi kasutanud vähemalt 2016. aastast, korraldades samaaegseid sularahaautomaatide väljavõtmise rünnakuid enam kui 30 riigis, varastades kümneid miljoneid dollareid operatsiooni kohta.

2020. aastal tõstatas USA küberväejuhatus taas häireid, sidudes uuendatud FASTCash 2.0 tegevuse APT38-ga (Lazarus). 2021. aastaks kuulutati välja süüdistused kolmele Põhja-Korea isikule, keda süüdistati finantsasutustelt üle 1,3 miljardi dollari varastamises kogu maailmas.

Teadlaste poolt märgatud uus variant

FASTCashi uusim variant, mis avastati juunis 2023, jagab paljusid tööomadusi oma eelkäijatega, mis on suunatud Windowsi ja AIX süsteemidele. See versioon kuvatakse jagatud raamatukoguna, mis sisestatakse makselüliti serveris töötavasse protsessi, kasutades võrgufunktsioonidega ühendamiseks süsteemikutset "ptrace".

Makselülitid toimivad vahendajatena, hõlbustades suhtlust sularahaautomaatide või poS-terminalide ja panga kesksüsteemide vahel, suunates tehingutaotlusi ja vastuseid. Pahavara kasutab neid lüliteid, püüdes kinni ja manipuleerides ISO8583 tehinguteateid, mis on finantssektoris deebet- ja krediitkaartide töötlemiseks hädavajalikud.

Pahavara sihib konkreetselt sõnumeid, mis tavaliselt keelduvad tehingutest, kuna kaardiomaniku kontol pole piisavalt vahendeid. See muudab neid sõnumeid, asendades vastuse "keeldu" vastusega "kinnita".

Lisaks lubavad muudetud sõnumid juhuslikult välja võtta 12 000–30 000 Türgi liiri (350–875 dollarit). Kui manipuleeritud sõnum saadetakse tagasi panga kesksüsteemidesse, sealhulgas kinnituskoodid (DE38, DE39) ja volitatud summa (DE54), kiidab pank tehingu heaks. Ründajate nimel töötav rahamuul võtab seejärel sularahaautomaadist sularaha välja.

Alates selle avastamisest arvatakse, et see Linuxi variant läheb enamikust standardsetest turvatööriistadest mööda, võimaldades ründajatel sooritada petturlikke tehinguid ilma tuvastamiseta. Küberturvalisuse eksperdid on leidnud ka märke, mis viitavad sellele, et häkkerid täiustavad pidevalt oma tööriistakomplekti, kusjuures 2024. aasta septembris ilmub FASTCashi uus Windowsi versioon.