FASTCash लिनक्स मालवेयर

उत्तर कोरियाली खतरा अभिनेताहरूले FASTCash मालवेयरको पहिले अज्ञात लिनक्स संस्करणको विकास गरेका छन्, जुन उनीहरूले वित्तीय संस्थाहरूको भुक्तानी स्विच प्रणालीमा सम्झौता गर्न प्रयोग गर्दैछन्, अवैध नगद निकासीको सुविधा प्रदान गर्दै।

FASTCash को पहिलेका संस्करणहरू Windows र IBM AIX (Unix) प्रणालीहरूलाई लक्षित गर्न जानिन्थ्यो। यद्यपि, सुरक्षा अनुसन्धानकर्ता ह्याक्सरोबको भर्खरको रिपोर्ट अनुसार, नयाँ अनावरण गरिएको लिनक्स संस्करणले अब Ubuntu 22.04 LTS वितरणलाई लक्षित गर्दैछ, यो संस्करणको पहिलो पत्ता लगाउने चिन्ह लगाउँदै।

FASTCash मालवेयरले वर्षौंदेखि एटीएमहरूलाई लक्षित गर्दै आएको छ

डिसेम्बर २०१८ मा, CISA (साइबरसेक्युरिटी र इन्फ्रास्ट्रक्चर सेक्युरिटी एजेन्सी) ले FASTCash ATM नगद-आउट योजनाको बारेमा पहिलो चेतावनी जारी गर्‍यो, यस गतिविधिको श्रेय उत्तर कोरियाली राज्य-प्रायोजित ह्याकिङ समूहलाई 'हिडेन कोब्रा' भनिन्छ। एजेन्सीको अनुसन्धानले पत्ता लगायो कि आक्रमणकारीहरूले कम्तिमा 2016 देखि FASTCash प्रयोग गर्दै आएका थिए, 30 भन्दा बढी देशहरूमा एक साथ ATM निकासी आक्रमणहरू आयोजना गर्दै, प्रति अपरेशन दशौं मिलियन डलर चोरी।

2020 मा, US साइबर कमाण्डले फेरि अलार्म बढायो, FASTCash 2.0 गतिविधिलाई APT38 (Lazarus) मा नविकरण गर्‍यो। 2021 सम्म, तीन उत्तर कोरियाली व्यक्तिहरूलाई विश्वव्यापी वित्तीय संस्थाहरूबाट $ 1.3 बिलियन भन्दा बढी चोरी गरेको आरोपमा अभियोगहरू घोषणा गरिएको थियो।

शोधकर्ताहरू द्वारा पत्ता लगाइएको नयाँ संस्करण

जुन २०२३ मा खुलासा भएको FASTCash को पछिल्लो संस्करणले विन्डोज र AIX प्रणालीहरूलाई लक्षित गर्ने आफ्ना पूर्ववर्तीहरूसँग धेरै परिचालन विशेषताहरू साझा गर्दछ। यो संस्करण साझा पुस्तकालयको रूपमा देखिन्छ जुन भुक्तानी स्विच सर्भरमा चलिरहेको प्रक्रियामा इन्जेक्सन गरिन्छ, 'ptrace' प्रणाली कल प्रयोग गरेर नेटवर्क प्रकार्यहरूमा हुक गर्न।

भुक्तान स्विचहरूले मध्यस्थकर्ताको रूपमा कार्य गर्दछ, ATM वा PoS टर्मिनलहरू र बैंकको केन्द्रीय प्रणालीहरू बीचको सञ्चार अनुरोधहरू र प्रतिक्रियाहरू रुट गरेर। मालवेयरले वित्तीय उद्योगमा डेबिट र क्रेडिट कार्ड प्रशोधनका लागि आवश्यक ISO8583 लेनदेन सन्देशहरू अवरोध र हेरफेर गरेर यी स्विचहरूको शोषण गर्दछ।

मालवेयरले विशेष गरी सन्देशहरूलाई लक्षित गर्दछ जुन सामान्यतया कार्डधारकको खातामा अपर्याप्त रकमको कारण लेनदेनहरू अस्वीकार गर्दछ। यसले यी सन्देशहरूलाई परिमार्जन गर्दछ, 'अस्वीकार' प्रतिक्रियालाई 'अनुमोदन' प्रतिक्रियासँग प्रतिस्थापन गर्दछ।

थप रूपमा, परिवर्तन गरिएका सन्देशहरूले 12,000 र 30,000 टर्किस लीरा ($ 350 - $ 875) बीचको अनियमित निकासी रकम अधिकृत गर्दछ। एकपटक हेरफेर गरिएको सन्देश स्वीकृति कोडहरू (DE38, DE39) र अधिकृत रकम (DE54) सहित बैंकको केन्द्रीय प्रणालीहरूमा फिर्ता पठाइएपछि, बैंकले लेनदेनलाई अनुमोदन गर्छ। आक्रमणकारीहरूको तर्फबाट काम गर्ने पैसा खच्चरले त्यसपछि एटीएमबाट नगद निकाल्छ।

यसको खोज पछि, यो लिनक्स भेरियन्टले धेरै मानक सुरक्षा उपकरणहरू बाइपास गर्ने विश्वास गरिन्छ, जसले आक्रमणकारीहरूलाई पत्ता लगाउन बिना धोखाधडी लेनदेनहरू गर्न अनुमति दिन्छ। साइबरसुरक्षा विशेषज्ञहरूले सेप्टेम्बर 2024 मा FASTCash को नयाँ विन्डोज संस्करण देखा परेको प्रमाणको साथ, ह्याकरहरूले आफ्नो टुलसेटलाई निरन्तर परिष्कृत गरिरहेका छन् भनी सुझाव दिने संकेतहरू पनि फेला पारेका छन्।