FASTCash Linux Malware

Nordkoreanske trusselaktører har utviklet en tidligere ukjent Linux-variant av FASTCash-malwaren, som de distribuerer for å kompromittere betalingsbyttesystemene til finansinstitusjoner, og tilrettelegge for ulovlige kontantuttak.

Tidligere versjoner av FASTCash var kjent for å målrette mot Windows og IBM AIX (Unix)-systemer. Imidlertid, ifølge en fersk rapport fra sikkerhetsforsker HaxRob, er en nylig avdekket Linux-variant nå rettet mot Ubuntu 22.04 LTS-distribusjoner, og markerer den første oppdagelsen av denne versjonen.

FASTCash Malware har vært rettet mot minibanker i årevis

I desember 2018 ga CISA (Cybersecurity and Infrastructure Security Agency) sin første advarsel om FASTCash ATM-utbetalingsordningen, og tilskrev aktiviteten til den nordkoreanske statsstøttede hackergruppen kalt 'Hidden Cobra'. Undersøkelser fra byrået avslørte at angriperne hadde brukt FASTCash siden minst 2016, og orkestrert samtidige minibankuttaksangrep i over 30 land, og stjålet titalls millioner dollar per operasjon.

I 2020 slo US Cyber Command alarm igjen, og koblet fornyet FASTCash 2.0-aktiviteten til APT38 (Lazarus). Innen 2021 ble det kunngjort tiltale mot tre nordkoreanske personer anklaget for å ha stjålet mer enn 1,3 milliarder dollar fra finansinstitusjoner globalt.

En ny variant oppdaget av forskere

Den siste varianten av FASTCash, som ble avdekket i juni 2023, deler mange operasjonelle egenskaper med sine forgjengere rettet mot Windows- og AIX-systemer. Denne versjonen vises som et delt bibliotek som injiseres i en kjørende prosess på en betalingssvitsjserver, ved å bruke "ptrace"-systemkallet for å koble til nettverksfunksjoner.

Betalingsveksler fungerer som mellomledd, og letter kommunikasjon mellom minibanker eller PoS-terminaler og en banks sentrale systemer ved å rute transaksjonsforespørsler og svar. Skadevaren utnytter disse bryterne ved å fange opp og manipulere ISO8583-transaksjonsmeldinger, som er avgjørende for debet- og kredittkortbehandling i finansbransjen.

Skadevaren retter seg spesifikt mot meldinger som normalt vil avvise transaksjoner på grunn av utilstrekkelige midler på en kortholders konto. Den endrer disse meldingene, og erstatter "avslå"-svaret med et "godkjenn"-svar.

I tillegg tillater de endrede meldingene et tilfeldig uttaksbeløp mellom 12 000 og 30 000 tyrkiske lira ($350 - $875). Når den manipulerte meldingen er sendt tilbake til bankens sentrale systemer, inkludert godkjenningskoder (DE38, DE39) og det autoriserte beløpet (DE54), godkjenner banken transaksjonen. Et pengemuldyr som jobber på vegne av angriperne tar deretter ut pengene fra en minibank.

Siden den ble oppdaget, antas denne Linux-varianten å omgå de fleste standard sikkerhetsverktøy, slik at angripere kan utføre uredelige transaksjoner uten oppdagelse. Eksperter på nettsikkerhet har også funnet tegn som tyder på at hackerne kontinuerlig forbedrer verktøysettet sitt, med bevis på at en ny Windows-versjon av FASTCash dukker opp i september 2024.