بدافزار لینوکس FASTCash

بازیگران تهدید کره شمالی یک نوع لینوکس که قبلاً ناشناخته بود از بدافزار FASTCash را توسعه داده‌اند که برای به خطر انداختن سیستم‌های سوئیچ پرداخت موسسات مالی و تسهیل برداشت‌های غیرقانونی پول نقد استفاده می‌کنند.

نسخه‌های قبلی FASTCash سیستم‌های Windows و IBM AIX (یونیکس) را هدف قرار می‌دادند. با این حال، طبق گزارش اخیر محقق امنیتی HaxRob، یک نوع لینوکس تازه کشف شده اکنون توزیع‌های Ubuntu 22.04 LTS را هدف قرار داده است و اولین شناسایی این نسخه است.

بدافزار FASTCash سالهاست که دستگاه های خودپرداز را هدف قرار داده است

در دسامبر 2018، CISA (آژانس امنیت سایبری و امنیت زیرساخت) اولین هشدار خود را در مورد طرح نقدینگی خودپرداز FASTCash صادر کرد و این فعالیت را به گروه هکری تحت حمایت دولت کره شمالی به نام "کبرا پنهان" نسبت داد. بررسی‌های این آژانس نشان داد که مهاجمان حداقل از سال 2016 از FASTCash استفاده می‌کردند و حملات برداشت همزمان از دستگاه‌های خودپرداز را در بیش از 30 کشور سازماندهی می‌کردند و ده‌ها میلیون دلار در هر عملیات سرقت می‌کردند.

در سال 2020، فرماندهی سایبری ایالات متحده دوباره زنگ خطر را به صدا درآورد و فعالیت FASTCash 2.0 را به APT38 (Lazarus) مرتبط کرد. تا سال 2021، کیفرخواست برای سه فرد کره شمالی که متهم به سرقت بیش از 1.3 میلیارد دلار از موسسات مالی در سطح جهان هستند، اعلام شد.

یک نوع جدید توسط محققان کشف شد

آخرین نوع FASTCash، که در ژوئن 2023 کشف شد، دارای ویژگی های عملیاتی بسیاری با نسخه های قبلی خود است که سیستم های Windows و AIX را هدف قرار می دهند. این نسخه به عنوان یک کتابخانه مشترک ظاهر می شود که با استفاده از فراخوانی سیستم 'ptrace' برای اتصال به توابع شبکه به یک فرآیند در حال اجرا روی سرور سوئیچ پرداخت تزریق می شود.

سوئیچ های پرداخت به عنوان واسطه عمل می کنند و ارتباط بین دستگاه های خودپرداز یا پایانه های PoS و سیستم های مرکزی بانک را با مسیریابی درخواست ها و پاسخ های تراکنش تسهیل می کنند. این بدافزار با رهگیری و دستکاری پیام‌های تراکنش ISO8583، که برای پردازش کارت‌های بدهی و اعتباری در صنعت مالی ضروری هستند، از این سوئیچ‌ها سوء استفاده می‌کند.

این بدافزار به‌طور خاص پیام‌هایی را هدف قرار می‌دهد که معمولاً به دلیل کمبود بودجه در حساب دارنده کارت، تراکنش‌ها را رد می‌کنند. این پیام‌ها را تغییر می‌دهد و پاسخ «رد» را با پاسخ «تایید» جایگزین می‌کند.

علاوه بر این، پیام‌های تغییر یافته اجازه برداشت تصادفی بین 12000 تا 30000 لیر ترکیه (350 تا 875 دلار) را می‌دهند. هنگامی که پیام دستکاری شده به سیستم های مرکزی بانک شامل کدهای تایید (DE38، DE39) و مبلغ مجاز (DE54) بازگردانده می شود، بانک معامله را تایید می کند. سپس یک قاطر پولی که از طرف مهاجمان کار می کند وجه نقد را از دستگاه خودپرداز خارج می کند.

از زمان کشف، این نوع لینوکس اعتقاد بر این است که اکثر ابزارهای امنیتی استاندارد را دور می زند و به مهاجمان اجازه می دهد تا تراکنش های جعلی را بدون شناسایی انجام دهند. کارشناسان امنیت سایبری همچنین نشانه‌هایی پیدا کرده‌اند که نشان می‌دهد هکرها به طور مداوم مجموعه ابزار خود را اصلاح می‌کنند، با شواهدی مبنی بر ظهور نسخه جدید ویندوز FASTCash در سپتامبر 2024.