FASTCash लिनक्स मैलवेयर

उत्तर कोरियाई आतंकवादियों ने FASTCash मैलवेयर का एक पहले से अज्ञात लिनक्स संस्करण विकसित किया है, जिसका उपयोग वे वित्तीय संस्थाओं की भुगतान स्विच प्रणालियों को हैक करने के लिए कर रहे हैं, जिससे अवैध नकदी निकासी में मदद मिलेगी।

FASTCash के पुराने संस्करण Windows और IBM AIX (Unix) सिस्टम को लक्षित करने के लिए जाने जाते थे। हालाँकि, सुरक्षा शोधकर्ता HaxRob की एक हालिया रिपोर्ट के अनुसार, एक नया खुला Linux संस्करण अब Ubuntu 22.04 LTS वितरण को लक्षित कर रहा है, जो इस संस्करण का पहला पता लगाना है।

FASTCash मैलवेयर कई वर्षों से ATM को निशाना बना रहा है

दिसंबर 2018 में, CISA (साइबरसिक्यूरिटी एंड इंफ्रास्ट्रक्चर सिक्यूरिटी एजेंसी) ने FASTCash ATM कैश-आउट योजना के बारे में अपनी पहली चेतावनी जारी की, इस गतिविधि को उत्तर कोरियाई राज्य प्रायोजित हैकिंग समूह 'हिडन कोबरा' के लिए जिम्मेदार ठहराया। एजेंसी द्वारा की गई जांच से पता चला कि हमलावर कम से कम 2016 से FASTCash का उपयोग कर रहे थे, 30 से अधिक देशों में एक साथ ATM निकासी हमलों की योजना बना रहे थे, प्रति ऑपरेशन करोड़ों डॉलर की चोरी कर रहे थे।

2020 में, यूएस साइबर कमांड ने फिर से अलार्म बजाया, FASTCash 2.0 गतिविधि को APT38 (लाजरस) से जोड़ा। 2021 तक, वैश्विक स्तर पर वित्तीय संस्थानों से 1.3 बिलियन डॉलर से अधिक की चोरी करने के आरोप में तीन उत्तर कोरियाई व्यक्तियों के खिलाफ अभियोग की घोषणा की गई।

शोधकर्ताओं द्वारा एक नया वैरिएंट देखा गया

जून 2023 में सामने आने वाला FASTCash का नवीनतम संस्करण, विंडोज और AIX सिस्टम को लक्षित करने वाले अपने पूर्ववर्तियों के साथ कई परिचालन विशेषताओं को साझा करता है। यह संस्करण एक साझा लाइब्रेरी के रूप में दिखाई देता है जिसे नेटवर्क फ़ंक्शन में हुक करने के लिए 'ptrace' सिस्टम कॉल का उपयोग करके भुगतान स्विच सर्वर पर चल रही प्रक्रिया में इंजेक्ट किया जाता है।

भुगतान स्विच मध्यस्थ के रूप में कार्य करते हैं, जो लेनदेन अनुरोधों और प्रतिक्रियाओं को रूट करके एटीएम या पीओएस टर्मिनलों और बैंक की केंद्रीय प्रणालियों के बीच संचार को सुविधाजनक बनाते हैं। मैलवेयर इन स्विचों का फायदा उठाकर ISO8583 लेनदेन संदेशों को बाधित और हेरफेर करता है, जो वित्तीय उद्योग में डेबिट और क्रेडिट कार्ड प्रसंस्करण के लिए आवश्यक हैं।

मैलवेयर खास तौर पर उन संदेशों को लक्षित करता है जो कार्डधारक के खाते में अपर्याप्त धनराशि के कारण लेनदेन को अस्वीकार कर देते हैं। यह इन संदेशों को संशोधित करता है, 'अस्वीकार' प्रतिक्रिया को 'अनुमोदन' प्रतिक्रिया से बदल देता है।

इसके अलावा, बदले हुए संदेश 12,000 से 30,000 तुर्की लीरा ($350 - $875) के बीच की यादृच्छिक निकासी राशि को अधिकृत करते हैं। एक बार जब हेरफेर किया गया संदेश बैंक के केंद्रीय सिस्टम में वापस भेज दिया जाता है, जिसमें अनुमोदन कोड (DE38, DE39) और अधिकृत राशि (DE54) शामिल होती है, तो बैंक लेनदेन को मंजूरी दे देता है। हमलावरों की ओर से काम करने वाला एक मनी म्यूल फिर एटीएम से नकदी निकाल लेता है।

इसकी खोज के बाद से, यह माना जाता है कि यह लिनक्स संस्करण अधिकांश मानक सुरक्षा उपकरणों को बायपास करता है, जिससे हमलावरों को बिना पता लगे धोखाधड़ी वाले लेनदेन करने की अनुमति मिलती है। साइबर सुरक्षा विशेषज्ञों ने यह भी संकेत पाया है कि हैकर्स लगातार अपने टूलसेट को परिष्कृत कर रहे हैं, सितंबर 2024 में FASTCash का एक नया विंडोज संस्करण सामने आने के सबूत हैं।