FASTCash Linux ਮਾਲਵੇਅਰ

ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਖਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਨੇ FASTCash ਮਾਲਵੇਅਰ ਦਾ ਇੱਕ ਪਹਿਲਾਂ ਤੋਂ ਅਣਜਾਣ ਲੀਨਕਸ ਰੂਪ ਵਿਕਸਿਤ ਕੀਤਾ ਹੈ, ਜਿਸ ਨੂੰ ਉਹ ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ ਦੇ ਭੁਗਤਾਨ ਸਵਿੱਚ ਪ੍ਰਣਾਲੀਆਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਤੈਨਾਤ ਕਰ ਰਹੇ ਹਨ, ਨਾਜਾਇਜ਼ ਨਕਦ ਨਿਕਾਸੀ ਦੀ ਸਹੂਲਤ।

FASTCash ਦੇ ਪੁਰਾਣੇ ਸੰਸਕਰਣ ਵਿੰਡੋਜ਼ ਅਤੇ IBM AIX (ਯੂਨਿਕਸ) ਸਿਸਟਮਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਜਾਣੇ ਜਾਂਦੇ ਸਨ। ਹਾਲਾਂਕਿ, ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਹੈਕਸਰੋਬ ਦੀ ਇੱਕ ਤਾਜ਼ਾ ਰਿਪੋਰਟ ਦੇ ਅਨੁਸਾਰ, ਇੱਕ ਨਵਾਂ ਖੁਲਾਸਾ ਹੋਇਆ ਲੀਨਕਸ ਵੇਰੀਐਂਟ ਹੁਣ ਉਬੰਟੂ 22.04 LTS ਡਿਸਟਰੀਬਿਊਸ਼ਨ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ, ਇਸ ਸੰਸਕਰਣ ਦੀ ਪਹਿਲੀ ਖੋਜ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

FASTCash ਮਾਲਵੇਅਰ ਸਾਲਾਂ ਤੋਂ ATM ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ

ਦਸੰਬਰ 2018 ਵਿੱਚ, CISA (ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸੁਰੱਖਿਆ ਏਜੰਸੀ) ਨੇ FASTCash ATM ਕੈਸ਼-ਆਊਟ ਸਕੀਮ ਬਾਰੇ ਆਪਣੀ ਪਹਿਲੀ ਚੇਤਾਵਨੀ ਜਾਰੀ ਕੀਤੀ, ਇਸ ਗਤੀਵਿਧੀ ਨੂੰ ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਰਾਜ-ਪ੍ਰਾਯੋਜਿਤ ਹੈਕਿੰਗ ਸਮੂਹ ਨੂੰ 'ਹਿਡਨ ਕੋਬਰਾ' ਕਹਿੰਦੇ ਹਨ। ਏਜੰਸੀ ਦੀ ਜਾਂਚ ਤੋਂ ਪਤਾ ਲੱਗਾ ਹੈ ਕਿ ਹਮਲਾਵਰ ਘੱਟੋ-ਘੱਟ 2016 ਤੋਂ FASTCash ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਸਨ, 30 ਤੋਂ ਵੱਧ ਦੇਸ਼ਾਂ ਵਿੱਚ ਇੱਕੋ ਸਮੇਂ ATM ਕਢਵਾਉਣ ਦੇ ਹਮਲਿਆਂ ਦੀ ਯੋਜਨਾ ਬਣਾ ਰਹੇ ਸਨ, ਪ੍ਰਤੀ ਓਪਰੇਸ਼ਨ ਲੱਖਾਂ ਡਾਲਰਾਂ ਦੀ ਚੋਰੀ ਕਰਦੇ ਸਨ।

2020 ਵਿੱਚ, ਯੂਐਸ ਸਾਈਬਰ ਕਮਾਂਡ ਨੇ ਦੁਬਾਰਾ ਅਲਾਰਮ ਵਧਾਏ, FASTCash 2.0 ਗਤੀਵਿਧੀ ਨੂੰ APT38 (ਲਾਜ਼ਰਸ) ਨਾਲ ਜੋੜਦੇ ਹੋਏ। 2021 ਤੱਕ, ਵਿਸ਼ਵ ਪੱਧਰ 'ਤੇ ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ ਤੋਂ $1.3 ਬਿਲੀਅਨ ਤੋਂ ਵੱਧ ਦੀ ਚੋਰੀ ਕਰਨ ਦੇ ਦੋਸ਼ ਵਿੱਚ ਤਿੰਨ ਉੱਤਰੀ ਕੋਰੀਆਈ ਵਿਅਕਤੀਆਂ ਲਈ ਦੋਸ਼ਾਂ ਦਾ ਐਲਾਨ ਕੀਤਾ ਗਿਆ ਸੀ।

ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਦੇਖਿਆ ਗਿਆ ਇੱਕ ਨਵਾਂ ਰੂਪ

FASTCash ਦਾ ਨਵੀਨਤਮ ਰੂਪ, ਜੂਨ 2023 ਵਿੱਚ ਸਾਹਮਣੇ ਆਇਆ, ਵਿੰਡੋਜ਼ ਅਤੇ ਏਆਈਐਕਸ ਸਿਸਟਮਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਆਪਣੇ ਪੂਰਵਜਾਂ ਨਾਲ ਕਈ ਸੰਚਾਲਨ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਸਾਂਝਾ ਕਰਦਾ ਹੈ। ਇਹ ਸੰਸਕਰਣ ਇੱਕ ਸ਼ੇਅਰਡ ਲਾਇਬ੍ਰੇਰੀ ਦੇ ਰੂਪ ਵਿੱਚ ਪ੍ਰਗਟ ਹੁੰਦਾ ਹੈ ਜੋ ਇੱਕ ਭੁਗਤਾਨ ਸਵਿੱਚ ਸਰਵਰ 'ਤੇ ਚੱਲ ਰਹੀ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਇੰਜੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਨੈੱਟਵਰਕ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਜੋੜਨ ਲਈ 'ptrace' ਸਿਸਟਮ ਕਾਲ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ।

ਭੁਗਤਾਨ ਸਵਿੱਚ ਵਿਚੋਲੇ ਵਜੋਂ ਕੰਮ ਕਰਦੇ ਹਨ, ATM ਜਾਂ PoS ਟਰਮੀਨਲਾਂ ਅਤੇ ਬੈਂਕ ਦੇ ਕੇਂਦਰੀ ਪ੍ਰਣਾਲੀਆਂ ਵਿਚਕਾਰ ਸੰਚਾਰ ਬੇਨਤੀਆਂ ਅਤੇ ਜਵਾਬਾਂ ਨੂੰ ਰੂਟ ਕਰਕੇ ਸੰਚਾਰ ਦੀ ਸਹੂਲਤ ਦਿੰਦੇ ਹਨ। ਮਾਲਵੇਅਰ ISO8583 ਟ੍ਰਾਂਜੈਕਸ਼ਨ ਸੁਨੇਹਿਆਂ ਨੂੰ ਰੋਕ ਕੇ ਅਤੇ ਹੇਰਾਫੇਰੀ ਕਰਕੇ ਇਹਨਾਂ ਸਵਿੱਚਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ, ਜੋ ਵਿੱਤੀ ਉਦਯੋਗ ਵਿੱਚ ਡੈਬਿਟ ਅਤੇ ਕ੍ਰੈਡਿਟ ਕਾਰਡ ਪ੍ਰੋਸੈਸਿੰਗ ਲਈ ਜ਼ਰੂਰੀ ਹਨ।

ਮਾਲਵੇਅਰ ਖਾਸ ਤੌਰ 'ਤੇ ਉਹਨਾਂ ਸੁਨੇਹਿਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਜੋ ਆਮ ਤੌਰ 'ਤੇ ਕਾਰਡਧਾਰਕ ਦੇ ਖਾਤੇ ਵਿੱਚ ਨਾਕਾਫ਼ੀ ਫੰਡਾਂ ਕਾਰਨ ਲੈਣ-ਦੇਣ ਨੂੰ ਅਸਵੀਕਾਰ ਕਰਦੇ ਹਨ। ਇਹ ਇਹਨਾਂ ਸੁਨੇਹਿਆਂ ਨੂੰ ਸੋਧਦਾ ਹੈ, 'ਅਸਵੀਕਾਰ' ਜਵਾਬ ਨੂੰ 'ਮਨਜ਼ੂਰ' ਜਵਾਬ ਨਾਲ ਬਦਲਦਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਬਦਲੇ ਹੋਏ ਸੁਨੇਹੇ 12,000 ਅਤੇ 30,000 ਤੁਰਕੀ ਲੀਰਾ ($350 - $875) ਦੇ ਵਿਚਕਾਰ ਬੇਤਰਤੀਬੇ ਕਢਵਾਉਣ ਦੀ ਰਕਮ ਨੂੰ ਅਧਿਕਾਰਤ ਕਰਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਹੇਰਾਫੇਰੀ ਵਾਲਾ ਸੁਨੇਹਾ ਬੈਂਕ ਦੇ ਕੇਂਦਰੀ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਵਾਪਸ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਪ੍ਰਵਾਨਗੀ ਕੋਡ (DE38, DE39) ਅਤੇ ਅਧਿਕਾਰਤ ਰਕਮ (DE54) ਸ਼ਾਮਲ ਹਨ, ਬੈਂਕ ਟ੍ਰਾਂਜੈਕਸ਼ਨ ਨੂੰ ਮਨਜ਼ੂਰੀ ਦਿੰਦਾ ਹੈ। ਹਮਲਾਵਰਾਂ ਦੀ ਤਰਫੋਂ ਕੰਮ ਕਰਨ ਵਾਲਾ ਇੱਕ ਪੈਸੇ ਵਾਲਾ ਖੱਚਰ ਫਿਰ ਏਟੀਐਮ ਤੋਂ ਨਕਦੀ ਕਢਾਉਂਦਾ ਹੈ।

ਇਸਦੀ ਖੋਜ ਤੋਂ ਬਾਅਦ, ਇਹ ਲੀਨਕਸ ਵੇਰੀਐਂਟ ਜ਼ਿਆਦਾਤਰ ਮਿਆਰੀ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਬਿਨਾਂ ਖੋਜ ਦੇ ਧੋਖਾਧੜੀ ਵਾਲੇ ਲੈਣ-ਦੇਣ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ। ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੂੰ ਇਹ ਸੰਕੇਤ ਵੀ ਮਿਲੇ ਹਨ ਕਿ ਹੈਕਰ ਸਤੰਬਰ 2024 ਵਿੱਚ FASTCash ਦੇ ਨਵੇਂ ਵਿੰਡੋਜ਼ ਵਰਜ਼ਨ ਦੇ ਸਾਹਮਣੇ ਆਉਣ ਦੇ ਸਬੂਤ ਦੇ ਨਾਲ, ਆਪਣੇ ਟੂਲਸੈੱਟ ਨੂੰ ਲਗਾਤਾਰ ਸੁਧਾਰ ਰਹੇ ਹਨ।