FASTCash លីនុច Malware

តួអង្គគម្រាមកំហែងរបស់កូរ៉េខាងជើងបានបង្កើតកំណែ Linux ដែលមិនស្គាល់ពីមុននៃមេរោគ FASTCash ដែលពួកគេកំពុងដាក់ពង្រាយដើម្បីសម្របសម្រួលប្រព័ន្ធប្តូរការទូទាត់របស់ស្ថាប័នហិរញ្ញវត្ថុ សម្របសម្រួលការដកសាច់ប្រាក់ខុសច្បាប់។

កំណែមុនរបស់ FASTCash ត្រូវបានគេដឹងថាដើម្បីកំណត់គោលដៅប្រព័ន្ធ Windows និង IBM AIX (Unix) ។ ទោះបីជាយ៉ាងណាក៏ដោយ យោងតាមរបាយការណ៍ថ្មីៗនេះដោយអ្នកស្រាវជ្រាវសន្តិសុខ HaxRob វ៉ារ្យ៉ង់លីនុចដែលបានរកឃើញថ្មីឥឡូវនេះកំពុងផ្តោតលើការចែកចាយ Ubuntu 22.04 LTS ដោយសម្គាល់ការរកឃើញដំបូងនៃកំណែនេះ។

មេរោគ FASTCash បានកំណត់គោលដៅម៉ាស៊ីន ATM ជាច្រើនឆ្នាំមកហើយ

នៅក្នុងខែធ្នូ ឆ្នាំ 2018 CISA (ទីភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធ) បានចេញការព្រមានលើកដំបូងរបស់ខ្លួនអំពីគម្រោងដកប្រាក់ FASTCash ATM ដោយចាត់ទុកសកម្មភាពនេះដល់ក្រុម Hacking ដែលឧបត្ថម្ភដោយរដ្ឋរបស់កូរ៉េខាងជើងដែលមានឈ្មោះថា 'Hidden Cobra' ។ ការស៊ើបអង្កេតដោយទីភ្នាក់ងារនេះបានបង្ហាញថា អ្នកវាយប្រហារបានប្រើប្រាស់ FASTCash ចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2016 ដោយបានរៀបចំការវាយប្រហារដកប្រាក់ ATM ដំណាលគ្នានៅក្នុងប្រទេសជាង 30 ដោយលួចលុយរាប់សិបលានដុល្លារក្នុងមួយប្រតិបត្តិការ។

នៅឆ្នាំ 2020 បញ្ជាការ Cyber របស់សហរដ្ឋអាមេរិកបានបង្កើនការជូនដំណឹងម្តងទៀត ដោយភ្ជាប់សកម្មភាព FASTCash 2.0 ជាថ្មីទៅកាន់ APT38 (Lazarus)។ នៅឆ្នាំ 2021 ការចោទប្រកាន់ត្រូវបានប្រកាសសម្រាប់បុគ្គលកូរ៉េខាងជើងបីនាក់ដែលត្រូវបានចោទប្រកាន់ពីបទលួចលុយជាង 1.3 ពាន់លានដុល្លារពីស្ថាប័នហិរញ្ញវត្ថុទូទាំងពិភពលោក។

វ៉ារ្យ៉ង់ថ្មីដែលរកឃើញដោយអ្នកស្រាវជ្រាវ

បំរែបំរួលចុងក្រោយបំផុតនៃ FASTCash ដែលត្រូវបានរកឃើញនៅក្នុងខែមិថុនា ឆ្នាំ 2023 ចែករំលែកលក្ខណៈប្រតិបត្តិការជាច្រើនជាមួយអ្នកកាន់តំណែងមុនរបស់ខ្លួនដែលផ្តោតលើប្រព័ន្ធ Windows និង AIX ។ កំណែនេះលេចឡើងជាបណ្ណាល័យចែករំលែកដែលត្រូវបានបញ្ចូលទៅក្នុងដំណើរការដែលកំពុងដំណើរការនៅលើម៉ាស៊ីនមេប្តូរការទូទាត់ ដោយប្រើការហៅប្រព័ន្ធ 'ptrace' ដើម្បីភ្ជាប់មុខងារបណ្តាញ។

កុងតាក់ទូទាត់ដើរតួនាទីជាអន្តរការី ដែលជួយសម្រួលទំនាក់ទំនងរវាងម៉ាស៊ីន ATM ឬ PoS និងប្រព័ន្ធកណ្តាលរបស់ធនាគារដោយកំណត់ទិសដៅសំណើប្រតិបត្តិការ និងការឆ្លើយតប។ មេរោគនេះប្រើប្រាស់ឧបករណ៍ប្តូរទាំងនេះដោយការស្ទាក់ចាប់ និងរៀបចំសារប្រតិបត្តិការ ISO8583 ដែលមានសារៈសំខាន់សម្រាប់ដំណើរការឥណពន្ធ និងកាតឥណទាននៅក្នុងឧស្សាហកម្មហិរញ្ញវត្ថុ។

មេរោគនេះកំណត់គោលដៅជាពិសេសទៅលើសារដែលជាធម្មតានឹងបដិសេធប្រតិបត្តិការដោយសារតែមូលនិធិមិនគ្រប់គ្រាន់នៅក្នុងគណនីរបស់អ្នកកាន់ប័ណ្ណ។ វាកែប្រែសារទាំងនេះ ដោយជំនួសការឆ្លើយតប 'បដិសេធ' ជាមួយនឹងការឆ្លើយតប 'យល់ព្រម' ។

លើសពីនេះ សារដែលបានផ្លាស់ប្តូរអនុញ្ញាតឱ្យមានការដកប្រាក់ចៃដន្យចន្លោះពី 12,000 ទៅ 30,000 លីរ៉ាទួរគី ($350 - 875 ដុល្លារ)។ នៅពេលដែលសារដែលបានរៀបចំត្រូវបានផ្ញើត្រឡប់ទៅប្រព័ន្ធកណ្តាលរបស់ធនាគារ រួមទាំងលេខកូដអនុម័ត (DE38, DE39) និងចំនួនទឹកប្រាក់ដែលបានអនុញ្ញាត (DE54) ធនាគារនឹងយល់ព្រមលើប្រតិបត្តិការនេះ។ មេ​លុយ​ដែល​ធ្វើការ​ជំនួស​អ្នក​វាយ​ប្រហារ​បន្ទាប់​មក​ដក​ប្រាក់​ពី​ម៉ាស៊ីន ATM។

ចាប់តាំងពីការរកឃើញរបស់វា វ៉ារ្យ៉ង់លីនុចនេះត្រូវបានគេជឿថាអាចរំលងឧបករណ៍សុវត្ថិភាពស្តង់ដារភាគច្រើន ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើប្រតិបត្តិការក្លែងបន្លំដោយគ្មានការរកឃើញ។ អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតក៏បានរកឃើញសញ្ញាដែលបង្ហាញថាពួក Hacker កំពុងបន្តកែលម្អឧបករណ៍របស់ពួកគេ ដោយមានភស្តុតាងនៃកំណែ Windows ថ្មីនៃ FASTCash លេចឡើងក្នុងខែកញ្ញា ឆ្នាំ 2024 ។