FASTCash Linux ļaunprātīga programmatūra

Ziemeļkorejas draudu dalībnieki ir izstrādājuši iepriekš nezināmu FASTCash ļaunprogrammatūras Linux variantu, ko viņi izvieto, lai kompromitētu finanšu iestāžu maksājumu maiņas sistēmas, veicinot nelikumīgu skaidras naudas izņemšanu.

Iepriekšējās FASTCash versijas bija paredzētas Windows un IBM AIX (Unix) sistēmām. Tomēr saskaņā ar neseno drošības pētnieka HaxRob ziņojumu, jaunatklātais Linux variants tagad ir vērsts uz Ubuntu 22.04 LTS izplatīšanu, atzīmējot pirmo šīs versijas atklāšanu.

FASTCash ļaunprātīgā programmatūra ir bijusi vērsta uz bankomātiem gadiem ilgi

2018. gada decembrī CISA (Kiberdrošības un infrastruktūras drošības aģentūra) izdeva pirmo brīdinājumu par FASTCash bankomāta skaidras naudas izņemšanas shēmu, attiecinot šo darbību uz Ziemeļkorejas valsts sponsorēto hakeru grupu ar nosaukumu "Slēptā kobra". Aģentūras veiktajā izmeklēšanā atklājās, ka uzbrucēji FASTCash ir izmantojuši vismaz kopš 2016. gada, organizējot vienlaicīgus bankomāta izņemšanas uzbrukumus vairāk nekā 30 valstīs, nolaupot desmitiem miljonu dolāru par katru operāciju.

2020. gadā ASV kiberpavēlniecība atkal izraisīja trauksmes signālus, saistot atjaunoto FASTCash 2.0 darbību ar APT38 (Lazarus). Līdz 2021. gadam tika izvirzītas apsūdzības trim Ziemeļkorejas personām, kuras apsūdzētas vairāk nekā 1,3 miljardu dolāru zādzībā no finanšu iestādēm visā pasaulē.

Jauns variants, ko pamanījuši pētnieki

Jaunākajam FASTCash variantam, kas tika atklāts 2023. gada jūnijā, ir daudz kopīgu darbības īpašību ar tā priekšgājējiem, kas paredzēti Windows un AIX sistēmām. Šī versija tiek rādīta kā koplietojama bibliotēka, kas tiek ievadīta maksājumu pārslēgšanas servera darbības procesā, izmantojot sistēmas izsaukumu “ptrace”, lai piesaistītu tīkla funkcijas.

Maksājumu slēdži darbojas kā starpnieki, atvieglojot saziņu starp bankomātiem vai PoS termināļiem un bankas centrālajām sistēmām, maršrutējot darījumu pieprasījumus un atbildes. Ļaunprātīga programmatūra izmanto šos slēdžus, pārtverot un manipulējot ar ISO8583 transakciju ziņojumiem, kas ir būtiski debetkaršu un kredītkaršu apstrādei finanšu nozarē.

Ļaunprātīga programmatūra ir īpaši vērsta uz ziņojumiem, kas parasti noraidītu darījumus, jo kartes īpašnieka kontā nav pietiekami daudz līdzekļu. Tas maina šos ziņojumus, aizstājot atbildi “noraidīt” ar “apstiprināt”.

Turklāt mainītie ziņojumi ļauj nejauši izņemt summu no 12 000 līdz 30 000 Turcijas liru (350 - 875 USD). Kad manipulētais ziņojums ir nosūtīts atpakaļ uz bankas centrālajām sistēmām, ieskaitot apstiprinājuma kodus (DE38, DE39) un autorizēto summu (DE54), banka apstiprina darījumu. Pēc tam naudas mūlis, kas strādā uzbrucēju vārdā, izņem skaidru naudu no bankomāta.

Tiek uzskatīts, ka kopš atklāšanas šis Linux variants apiet lielāko daļu standarta drošības rīku, ļaujot uzbrucējiem bez atklāšanas veikt krāpnieciskus darījumus. Kiberdrošības eksperti ir arī atraduši pazīmes, kas liecina, ka hakeri nepārtraukti pilnveido savu rīku komplektu, un liecina, ka 2024. gada septembrī parādīsies jauna FASTCash Windows versija.