FASTCash Linux -haittaohjelma

Pohjoiskorealaiset uhkatoimijat ovat kehittäneet aiemmin tuntemattoman Linux-version FASTCash-haittaohjelmasta, jota he ottavat käyttöön rahoituslaitosten maksunvaihtojärjestelmien vaarantamiseksi ja helpottavat laittomia käteisnostoja.

FASTCashin aikaisempien versioiden tiedettiin kohdistuvan Windows- ja IBM AIX (Unix) -järjestelmiin. Tietoturvatutkija HaxRobin tuoreen raportin mukaan kuitenkin äskettäin paljastettu Linux-versio on nyt kohdistettu Ubuntu 22.04 LTS -jakeluihin, mikä merkitsee tämän version ensimmäistä havaitsemista.

FASTCash-haittaohjelma on kohdistunut pankkiautomaateihin vuosia

Joulukuussa 2018 CISA (Cybersecurity and Infrastructure Security Agency) antoi ensimmäisen varoituksensa FASTCash-pankkiautomaattien nostojärjestelmästä ja katsoi toiminnan syyksi Pohjois-Korean valtion tukemaan "Hidden Cobra" -nimiseen hakkerointiryhmään. Viraston tutkimukset paljastivat, että hyökkääjät olivat käyttäneet FASTCashia ainakin vuodesta 2016 lähtien ja organisoivat samanaikaisia pankkiautomaattien nostohyökkäyksiä yli 30 maassa ja varastivat kymmeniä miljoonia dollareita operaatiota kohden.

Vuonna 2020 Yhdysvaltain kyberkomento herätti jälleen hälytyksiä yhdistämällä uudistetun FASTCash 2.0 -toiminnan APT38:aan (Lazarus). Vuoteen 2021 mennessä ilmoitettiin syytteet kolmelle pohjoiskorealaiselle henkilölle, joita syytettiin yli 1,3 miljardin dollarin varastamisesta rahoituslaitoksilta maailmanlaajuisesti.

Uusi versio, jonka tutkijat havaitsivat

FASTCashin uusin versio, joka paljastettiin kesäkuussa 2023, jakaa monia toiminnallisia ominaisuuksia edeltäjiensä kanssa, jotka on kohdistettu Windows- ja AIX-järjestelmiin. Tämä versio näkyy jaettuna kirjastona, joka lisätään käynnissä olevaan prosessiin maksukytkinpalvelimella käyttämällä "ptrace"-järjestelmäkutsua verkkotoimintoihin kytkeytymiseen.

Maksukytkimet toimivat välittäjinä, jotka helpottavat kommunikaatiota pankkiautomaattien tai kassapäätteiden ja pankin keskusjärjestelmien välillä reitittämällä tapahtumapyyntöjä ja vastauksia. Haittaohjelma hyödyntää näitä kytkimiä sieppaamalla ja manipuloimalla ISO8583-tapahtumaviestejä, jotka ovat välttämättömiä pankki- ja luottokorttien käsittelyssä rahoitusalalla.

Haittaohjelma kohdistuu erityisesti viesteihin, jotka normaalisti hylkäävät tapahtumat, koska kortinhaltijan tilillä ei ole riittävästi varoja. Se muokkaa näitä viestejä korvaamalla "hylkää"-vastauksen "hyväksy"-vastauksella.

Lisäksi muutetut viestit sallivat satunnaisen nostosumman välillä 12 000 - 30 000 Turkin liiraa (350 - 875 dollaria). Kun manipuloitu viesti on lähetetty takaisin pankin keskusjärjestelmiin sisältäen hyväksymiskoodit (DE38, DE39) ja valtuutetun summan (DE54), pankki hyväksyy tapahtuman. Hyökkääjien puolesta työskentelevä rahamuuli nostaa sitten käteistä pankkiautomaatista.

Tämän Linux-version uskotaan löytämisen jälkeen ohittavan useimmat standardisuojaustyökalut, jolloin hyökkääjät voivat suorittaa vilpillisiä tapahtumia ilman havaitsemista. Kyberturvallisuusasiantuntijat ovat myös löytäneet merkkejä, jotka viittaavat siihen, että hakkerit parantavat jatkuvasti työkalujaan, ja näyttöä FASTCashin uudesta Windows-versiosta ilmestyy syyskuussa 2024.