FASTCash Linux kenkėjiška programa

Šiaurės Korėjos grėsmės veikėjai sukūrė anksčiau nežinomą „FASTCash“ kenkėjiškos programos „Linux“ variantą, kurį jie diegia siekdami pakenkti finansų įstaigų mokėjimų perjungimo sistemoms ir palengvinti neteisėtą grynųjų pinigų išėmimą.

Buvo žinoma, kad ankstesnės FASTCash versijos buvo skirtos Windows ir IBM AIX (Unix) sistemoms. Tačiau, remiantis naujausia saugumo tyrinėtojo HaxRob ataskaita, naujai atskleistas „Linux“ variantas dabar skirtas „Ubuntu 22.04 LTS“ platinimams, o tai žymi pirmąjį šios versijos aptikimą.

FASTCash kenkėjiška programa daugelį metų buvo nukreipta į bankomatus

2018 m. gruodį CISA (Kibernetinio saugumo ir infrastruktūros saugumo agentūra) paskelbė pirmąjį įspėjimą apie FASTCash bankomatų grynųjų pinigų išėmimo schemą, priskirdama veiklą Šiaurės Korėjos valstybės remiamai įsilaužimo grupei, pavadintai „Paslėpta kobra“. Agentūros atlikti tyrimai atskleidė, kad užpuolikai naudojo FASTCash mažiausiai nuo 2016 m., tuo pačiu metu organizuodami bankomatų išėmimo išpuolius daugiau nei 30 šalių, pavogdami dešimtis milijonų dolerių už vieną operaciją.

2020 m. JAV kibernetinė komanda vėl iškėlė pavojaus signalus, susiedama atnaujintą FASTCash 2.0 veiklą su APT38 (Lazarus). Iki 2021 metų buvo paskelbti kaltinimai trims Šiaurės Korėjos asmenims, kaltinamiems iš finansinių institucijų visame pasaulyje pavogę daugiau nei 1,3 mlrd.

Naujas variantas, kurį pastebėjo mokslininkai

Naujausias FASTCash variantas, atskleistas 2023 m. birželio mėn., turi daug bendrų veikimo charakteristikų, kaip ir jo pirmtakai, skirti Windows ir AIX sistemoms. Ši versija rodoma kaip bendrai naudojama biblioteka, kuri įtraukiama į vykdomą procesą mokėjimo jungiklio serveryje, naudojant „ptrace“ sistemos iškvietimą, kad būtų galima prisijungti prie tinklo funkcijų.

Mokėjimo jungikliai veikia kaip tarpininkai, palengvinantys ryšį tarp bankomatų ar POS terminalų ir banko centrinių sistemų, nukreipdami operacijų užklausas ir atsakymus. Kenkėjiška programa išnaudoja šiuos jungiklius perimdama ir manipuliuodama ISO8583 operacijų pranešimais, kurie yra būtini debeto ir kredito kortelių apdorojimui finansų pramonėje.

Kenkėjiška programa konkrečiai nukreipta į pranešimus, kurie paprastai atmestų operacijas, nes kortelės savininko sąskaitoje nepakanka lėšų. Jis pakeičia šiuos pranešimus, pakeisdamas atsakymą „atmesti“ atsakymu „patvirtinti“.

Be to, pakeisti pranešimai leidžia atsitiktinai išsiimti sumą nuo 12 000 iki 30 000 Turkijos lirų (350–875 USD). Kai manipuliuotas pranešimas siunčiamas atgal į banko centrines sistemas, įskaitant patvirtinimo kodus (DE38, DE39) ir patvirtintą sumą (DE54), bankas patvirtina operaciją. Pinigų mulas, dirbantis užpuolikų vardu, išima grynuosius pinigus iš bankomato.

Manoma, kad nuo pat atradimo šis „Linux“ variantas apeina daugumą standartinių saugos įrankių, todėl užpuolikai gali atlikti nesąžiningus sandorius be aptikimo. Kibernetinio saugumo ekspertai taip pat aptiko ženklų, rodančių, kad įsilaužėliai nuolat tobulina savo įrankių rinkinį, o 2024 m. rugsėjį pasirodė nauja FASTCash versija Windows.