FASTCash Linux zlonamjerni softver

Sjevernokorejski akteri prijetnji razvili su prethodno nepoznatu Linux varijantu zlonamjernog softvera FASTCash, koju koriste kako bi ugrozili sustave plaćanja financijskih institucija, olakšavajući nezakonito podizanje gotovine.

Poznato je da su ranije verzije FASTCasha ciljale na Windows i IBM AIX (Unix) sustave. Međutim, prema nedavnom izvješću istraživača sigurnosti HaxRoba, novootkrivena varijanta Linuxa sada cilja na distribucije Ubuntu 22.04 LTS, označavajući prvo otkrivanje ove verzije.

Zlonamjerni softver FASTCash već godinama napada bankomate

U prosincu 2018. CISA (Agencija za kibernetičku sigurnost i sigurnost infrastrukture) izdala je svoje prvo upozorenje o shemi isplate novca na bankomatu FASTCash, pripisujući aktivnost sjevernokorejskoj državno sponzoriranoj hakerskoj skupini pod nazivom 'Hidden Cobra.' Istrage agencije otkrile su da su napadači koristili FASTCash najmanje od 2016. godine, orkestrirajući simultane napade na podizanje bankomata u više od 30 zemalja, kradući desetke milijuna dolara po operaciji.

Godine 2020. američko Cyber zapovjedništvo ponovno je podiglo uzbunu povezujući obnovljenu aktivnost FASTCash 2.0 s APT38 (Lazarus). Do 2021. najavljene su optužnice protiv tri sjevernokorejske osobe optužene za krađu više od 1,3 milijarde dolara iz financijskih institucija diljem svijeta.

Nova varijanta koju su uočili istraživači

Najnovija varijanta FASTCasha, otkrivena u lipnju 2023., dijeli mnoge operativne karakteristike sa svojim prethodnicima koji ciljaju na Windows i AIX sustave. Ova se verzija pojavljuje kao dijeljena biblioteka koja se ubacuje u pokrenuti proces na poslužitelju za prebacivanje plaćanja, koristeći sistemski poziv 'ptrace' za spajanje na mrežne funkcije.

Prekidači za plaćanje djeluju kao posrednici, olakšavajući komunikaciju između bankomata ili PoS terminala i središnjih sustava banke usmjeravanjem zahtjeva za transakcije i odgovora. Zlonamjerni softver iskorištava te sklopke presretanjem i manipuliranjem ISO8583 transakcijskih poruka, koje su ključne za obradu debitnih i kreditnih kartica u financijskoj industriji.

Zlonamjerni softver posebno cilja na poruke koje bi inače odbile transakcije zbog nedovoljnih sredstava na računu vlasnika kartice. Modificira te poruke, zamjenjujući odgovor 'odbij' odgovorom 'odobri'.

Osim toga, izmijenjene poruke dopuštaju nasumično podizanje iznosa između 12.000 i 30.000 turskih lira ($350 - $875). Nakon što se manipulirana poruka pošalje natrag u središnje sustave banke, uključujući kodove odobrenja (DE38, DE39) i autorizirani iznos (DE54), banka odobrava transakciju. Mula za novac koja radi u ime napadača potom podiže gotovinu s bankomata.

Od svog otkrića, vjeruje se da ova varijanta Linuxa zaobilazi većinu standardnih sigurnosnih alata, dopuštajući napadačima da izvrše lažne transakcije bez otkrivanja. Stručnjaci za kibernetičku sigurnost također su pronašli znakove koji upućuju na to da hakeri kontinuirano usavršavaju svoj skup alata, uz dokaze o pojavi nove Windows verzije FASTCasha u rujnu 2024.