FASTCash Linux malware

Az észak-koreai fenyegetések szereplői kifejlesztették a FASTCash kártevő korábban ismeretlen Linux-változatát, amelyet a pénzintézetek fizetési kapcsolórendszereinek kompromittálására alkalmaznak, megkönnyítve a tiltott készpénzfelvételt.

A FASTCash korábbi verzióiról ismert volt, hogy Windows és IBM AIX (Unix) rendszereket céloznak meg. A HaxRob biztonsági kutató legújabb jelentése szerint azonban egy újonnan feltárt Linux-változat most az Ubuntu 22.04 LTS disztribúcióit célozza meg, ami ennek a verziónak az első észlelése.

A FASTCash malware évek óta célozza az ATM-eket

2018 decemberében a CISA (Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség) kiadta első figyelmeztetését a FASTCash ATM-kifizetési rendszerrel kapcsolatban, amelyben a tevékenységet az észak-koreai állam által szponzorált „Hidden Cobra” nevű hackercsoportnak tulajdonította. Az ügynökség vizsgálatai kimutatták, hogy a támadók legalább 2016 óta használták a FASTCash-t, és több mint 30 országban szerveztek egyidejű ATM-kivonási támadásokat, és műveletenként több tízmillió dollárt loptak el.

2020-ban az Egyesült Államok Cyber Command ismét riasztást adott, összekapcsolva a FASTCash 2.0 tevékenység megújítását az APT38-cal (Lazarus). 2021-ig vádemelést jelentettek be három észak-koreai személy ellen, akiket azzal vádolnak, hogy több mint 1,3 milliárd dollárt loptak el pénzügyi intézményektől világszerte.

A kutatók által felfedezett új változat

A FASTCash legújabb, 2023 júniusában bemutatott változata számos működési jellemzővel rendelkezik, mint a Windows és AIX rendszereket célzó elődjei. Ez a verzió megosztott könyvtárként jelenik meg, amelyet egy fizetési kapcsolószerveren futó folyamatba injektálnak, a „ptrace” rendszerhívás segítségével a hálózati funkciókhoz való csatlakozáshoz.

A fizetési kapcsolók közvetítőként működnek, megkönnyítve a kommunikációt az ATM-ek vagy PoS terminálok és a bank központi rendszerei között a tranzakciókérések és válaszok irányításával. A rosszindulatú program ezeket a kapcsolókat használja ki az ISO8583 tranzakciós üzenetek elfogásával és manipulálásával, amelyek elengedhetetlenek a bank- és hitelkártya-feldolgozáshoz a pénzügyi szektorban.

A rosszindulatú program kifejezetten azokat az üzeneteket célozza meg, amelyek rendszerint elutasítják a tranzakciókat a kártyabirtokos számláján lévő pénzhiány miatt. Módosítja ezeket az üzeneteket, és az „elutasítás” választ „jóváhagyja” válaszra cseréli.

Ezen túlmenően, a módosított üzenetek véletlenszerűen 12 000 és 30 000 török líra (350 és 875 dollár) közötti összeget engedélyeznek. Miután a manipulált üzenetet visszaküldték a bank központi rendszereibe, beleértve a jóváhagyási kódokat (DE38, DE39) és az engedélyezett összeget (DE54), a bank jóváhagyja a tranzakciót. A támadók nevében dolgozó pénzöszvér ezután kiveszi a készpénzt egy ATM-ből.

Felfedezése óta ez a Linux-változat a legtöbb szabványos biztonsági eszközt megkerüli, lehetővé téve a támadók számára, hogy észlelés nélkül hajtsanak végre csaló tranzakciókat. A kiberbiztonsági szakértők arra utaló jeleket is találtak, hogy a hackerek folyamatosan finomítják eszköztárukat, és bizonyíték van arra, hogy 2024 szeptemberében megjelenik a FASTCash új Windows-verziója.