FASTCash Linux Malware

Północnokoreańscy cyberprzestępcy opracowali nieznaną wcześniej odmianę złośliwego oprogramowania FASTCash dla systemu Linux, którą wdrażają w celu włamania się do systemów płatności instytucji finansowych, umożliwiając nielegalne wypłaty gotówki.

Wcześniejsze wersje FASTCash były znane z atakowania systemów Windows i IBM AIX (Unix). Jednak według niedawnego raportu badacza bezpieczeństwa HaxRob, niedawno odkryty wariant Linuksa atakuje teraz dystrybucje Ubuntu 22.04 LTS, co oznacza pierwsze wykrycie tej wersji.

Malware FASTCash atakuje bankomaty od lat

W grudniu 2018 r. CISA (Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury) wydała pierwsze ostrzeżenie dotyczące oszustwa związanego z wypłatami gotówki z bankomatów FASTCash, przypisując tę działalność sponsorowanej przez państwo Korei Północnej grupie hakerów o nazwie „Hidden Cobra”. Śledztwo przeprowadzone przez agencję wykazało, że atakujący korzystali z FASTCash co najmniej od 2016 r. i organizowali jednoczesne ataki na wypłaty z bankomatów w ponad 30 krajach, kradnąc dziesiątki milionów dolarów podczas każdej operacji.

W 2020 r. amerykańskie Cyber Command ponownie podniosło alarm, łącząc odnowioną aktywność FASTCash 2.0 z APT38 (Lazarus). Do 2021 r. ogłoszono akty oskarżenia dla trzech osób z Korei Północnej oskarżonych o kradzież ponad 1,3 mld USD z instytucji finansowych na całym świecie.

Naukowcy odkryli nowy wariant

Najnowsza odmiana FASTCash, odkryta w czerwcu 2023 r., dzieli wiele cech operacyjnych ze swoimi poprzednikami, które były przeznaczone dla systemów Windows i AIX. Ta wersja pojawia się jako biblioteka współdzielona, która jest wstrzykiwana do działającego procesu na serwerze przełącznika płatności, przy użyciu wywołania systemowego „ptrace” w celu połączenia się z funkcjami sieciowymi.

Przełączniki płatności działają jako pośrednicy, ułatwiając komunikację między bankomatami lub terminalami PoS a systemami centralnymi banku poprzez kierowanie żądań i odpowiedzi dotyczących transakcji. Złośliwe oprogramowanie wykorzystuje te przełączniki, przechwytując i manipulując komunikatami transakcji ISO8583, które są niezbędne do przetwarzania kart debetowych i kredytowych w branży finansowej.

Malware atakuje konkretnie wiadomości, które normalnie odrzucałyby transakcje z powodu niewystarczających środków na koncie posiadacza karty. Modyfikuje te wiadomości, zastępując odpowiedź „odrzuć” odpowiedzią „zatwierdź”.

Ponadto zmienione wiadomości autoryzują losową kwotę wypłaty między 12 000 a 30 000 lir tureckich (350–875 USD). Po odesłaniu zmanipulowanej wiadomości do centralnych systemów banku, w tym kodów zatwierdzających (DE38, DE39) i autoryzowanej kwoty (DE54), bank zatwierdza transakcję. Następnie muł pieniężny pracujący w imieniu atakujących wypłaca gotówkę z bankomatu.

Od czasu odkrycia uważa się, że ta odmiana Linuksa omija większość standardowych narzędzi bezpieczeństwa, umożliwiając atakującym przeprowadzanie oszukańczych transakcji bez wykrycia. Eksperci ds. cyberbezpieczeństwa znaleźli również oznaki sugerujące, że hakerzy nieustannie udoskonalają swój zestaw narzędzi, a dowody na pojawienie się nowej wersji FASTCash dla systemu Windows we wrześniu 2024 r.