FASTCash Linux-malware

Noord-Koreaanse cybercriminelen hebben een tot nu toe onbekende Linux-variant van de FASTCash-malware ontwikkeld. Deze willen ze inzetten om de betalingssystemen van financiële instellingen te hacken en zo illegale geldopnames mogelijk te maken.

Eerdere versies van FASTCash waren bekend om Windows en IBM AIX (Unix) systemen te targeten. Echter, volgens een recent rapport van beveiligingsonderzoeker HaxRob, is een onlangs ontdekte Linux-variant nu gericht op Ubuntu 22.04 LTS-distributies, wat de eerste detectie van deze versie markeert.

De FASTCash-malware is al jaren gericht op geldautomaten

In december 2018 waarschuwde CISA (Cybersecurity and Infrastructure Security Agency) voor het eerst over de FASTCash ATM-opnameregeling. De organisatie schreef de activiteiten toe aan de door de Noord-Koreaanse staat gesponsorde hackersgroep 'Hidden Cobra'. Onderzoek door de instantie wees uit dat de aanvallers FASTCash al sinds ten minste 2016 gebruikten en gelijktijdige aanvallen op geldopnames bij geldautomaten in meer dan 30 landen organiseerden. Per transactie werden tientallen miljoenen dollars gestolen.

In 2020 sloeg het Amerikaanse Cyber Command opnieuw alarm en koppelde de vernieuwde FASTCash 2.0-activiteit aan APT38 (Lazarus). In 2021 werden aanklachten aangekondigd tegen drie Noord-Koreaanse personen die ervan werden beschuldigd meer dan $ 1,3 miljard te hebben gestolen van financiële instellingen wereldwijd.

Een nieuwe variant ontdekt door onderzoekers

De nieuwste variant van FASTCash, ontdekt in juni 2023, deelt veel operationele kenmerken met zijn voorgangers die gericht zijn op Windows- en AIX-systemen. Deze versie verschijnt als een gedeelde bibliotheek die wordt geïnjecteerd in een lopend proces op een betalingsswitchserver, met behulp van de 'ptrace'-systeemoproep om te haken in netwerkfuncties.

Betalingsswitches fungeren als tussenpersonen en faciliteren de communicatie tussen geldautomaten of PoS-terminals en de centrale systemen van een bank door transactieverzoeken en -reacties te routeren. De malware maakt misbruik van deze switches door ISO8583-transactieberichten te onderscheppen en te manipuleren, die essentieel zijn voor de verwerking van debet- en creditcards in de financiële sector.

De malware richt zich specifiek op berichten die normaal gesproken transacties zouden weigeren vanwege onvoldoende saldo op de rekening van een kaarthouder. Het wijzigt deze berichten door de 'decline'-reactie te vervangen door een 'approve'-reactie.

Bovendien autoriseren de gewijzigde berichten een willekeurig opnamebedrag tussen 12.000 en 30.000 Turkse Lira ($350 - $875). Zodra het gemanipuleerde bericht is teruggestuurd naar de centrale systemen van de bank, inclusief goedkeuringscodes (DE38, DE39) en het geautoriseerde bedrag (DE54), keurt de bank de transactie goed. Een geldezel die namens de aanvallers werkt, haalt het geld vervolgens op bij een geldautomaat.

Sinds de ontdekking ervan wordt aangenomen dat deze Linux-variant de meeste standaardbeveiligingstools omzeilt, waardoor aanvallers frauduleuze transacties kunnen uitvoeren zonder dat ze worden opgemerkt. Cybersecurity-experts hebben ook signalen gevonden die erop wijzen dat de hackers hun toolset voortdurend verfijnen, met bewijs van een nieuwe Windows-versie van FASTCash die in september 2024 verschijnt.