Perisian Hasad Linux FASTCash

Pelakon ancaman Korea Utara telah membangunkan varian Linux yang tidak diketahui sebelum ini bagi perisian hasad FASTCash, yang mereka gunakan untuk menjejaskan sistem suis pembayaran institusi kewangan, memudahkan pengeluaran tunai haram.

Versi terdahulu FASTCash diketahui menyasarkan sistem Windows dan IBM AIX (Unix). Walau bagaimanapun, menurut laporan baru-baru ini oleh penyelidik keselamatan HaxRob, varian Linux yang baru ditemui kini menyasarkan pengedaran Ubuntu 22.04 LTS, menandakan pengesanan pertama versi ini.

Perisian Hasad FASTCash Telah Bertahun-tahun Menyasarkan ATM

Pada Disember 2018, CISA (Agensi Keselamatan Siber dan Infrastruktur) mengeluarkan amaran pertamanya tentang skim keluar tunai ATM FASTCash, mengaitkan aktiviti itu kepada kumpulan penggodaman tajaan negara Korea Utara yang dipanggil 'Hidden Cobra.' Siasatan oleh agensi itu mendedahkan bahawa penyerang telah menggunakan FASTCash sejak sekurang-kurangnya 2016, mendalangi serangan pengeluaran ATM serentak di lebih 30 negara, mencuri berpuluh juta dolar setiap operasi.

Pada tahun 2020, Perintah Siber AS menimbulkan penggera sekali lagi, memautkan aktiviti FASTCash 2.0 yang diperbaharui kepada APT38 (Lazarus). Menjelang 2021, dakwaan telah diumumkan ke atas tiga individu Korea Utara yang dituduh mencuri lebih daripada $1.3 bilion daripada institusi kewangan di seluruh dunia.

Varian Baharu Dilihat oleh Penyelidik

Varian terbaharu FASTCash, yang ditemui pada Jun 2023, berkongsi banyak ciri operasi dengan pendahulunya yang menyasarkan sistem Windows dan AIX. Versi ini muncul sebagai perpustakaan kongsi yang disuntik ke dalam proses yang sedang berjalan pada pelayan suis pembayaran, menggunakan panggilan sistem 'ptrace' untuk menyambung ke fungsi rangkaian.

Suis pembayaran bertindak sebagai perantara, memudahkan komunikasi antara ATM atau terminal PoS dan sistem pusat bank dengan menghalakan permintaan dan respons transaksi. Malware mengeksploitasi suis ini dengan memintas dan memanipulasi mesej transaksi ISO8583, yang penting untuk pemprosesan kad debit dan kredit dalam industri kewangan.

Perisian hasad secara khusus menyasarkan mesej yang biasanya menolak urus niaga kerana dana tidak mencukupi dalam akaun pemegang kad. Ia mengubah suai mesej ini, menggantikan respons 'tolak' dengan respons 'luluskan'.

Di samping itu, mesej yang diubah membenarkan jumlah pengeluaran rawak antara 12,000 dan 30,000 Lira Turki ($350 - $875). Setelah mesej yang dimanipulasi dihantar kembali ke sistem pusat bank, termasuk kod kelulusan (DE38, DE39) dan jumlah dibenarkan (DE54), bank meluluskan urus niaga tersebut. Keldai wang yang bekerja bagi pihak penyerang kemudian mengeluarkan wang tunai daripada ATM.

Sejak penemuannya, varian Linux ini dipercayai memintas kebanyakan alat keselamatan standard, membolehkan penyerang melakukan transaksi penipuan tanpa pengesanan. Pakar keselamatan siber juga telah menemui tanda yang menunjukkan bahawa penggodam terus memperhalusi set alat mereka, dengan bukti versi Windows baharu FASTCash muncul pada September 2024.