FASTCash Linux Malware

Actorii de amenințări nord-coreeni au dezvoltat o variantă Linux necunoscută anterior a programului malware FASTCash, pe care o implementează pentru a compromite sistemele de comutare de plată ale instituțiilor financiare, facilitând retragerile ilicite de numerar.

Versiunile anterioare ale FASTCash erau cunoscute pentru a viza sistemele Windows și IBM AIX (Unix). Cu toate acestea, conform unui raport recent al cercetătorului de securitate HaxRob, o variantă Linux nou descoperită vizează acum distribuțiile Ubuntu 22.04 LTS, marcând prima detectare a acestei versiuni.

Programul malware FASTCash vizează bancomatele de ani de zile

În decembrie 2018, CISA (Cybersecurity and Infrastructure Security Agency) a emis primul său avertisment cu privire la schema de încasare a ATM-ului FASTCash, atribuind activitatea grupului de hacking sponsorizat de stat nord-coreean numit „Hidden Cobra”. Investigațiile agenției au relevat că atacatorii foloseau FASTCash din cel puțin 2016, orchestrând atacuri simultane de retragere a bancomatelor în peste 30 de țări, furând zeci de milioane de dolari per operațiune.

În 2020, Comandamentul Cyber din SUA a tras din nou alarmele, legând activitatea reînnoită FASTCash 2.0 la APT38 (Lazarus). Până în 2021, au fost anunțate acuzații pentru trei indivizi nord-coreeni acuzați că au furat peste 1,3 miliarde de dolari de la instituții financiare la nivel global.

O nouă variantă depistată de cercetători

Cea mai recentă variantă de FASTCash, descoperită în iunie 2023, împărtășește multe caracteristici operaționale cu predecesorii săi, vizând sistemele Windows și AIX. Această versiune apare ca o bibliotecă partajată care este injectată într-un proces care rulează pe un server de comutare de plată, folosind apelul de sistem „ptrace” pentru a conecta funcțiile de rețea.

Comutatoarele de plată acționează ca intermediari, facilitând comunicarea între ATM-uri sau terminale PoS și sistemele centrale ale unei bănci prin direcționarea cererilor și răspunsurilor tranzacțiilor. Malware-ul exploatează aceste comutatoare prin interceptarea și manipularea mesajelor de tranzacție ISO8583, care sunt esențiale pentru procesarea cardurilor de debit și de credit în industria financiară.

Malware-ul vizează în mod specific mesajele care ar refuza în mod normal tranzacțiile din cauza fondurilor insuficiente în contul unui deținător de card. Modifică aceste mesaje, înlocuind răspunsul „refuză” cu un răspuns „aprobă”.

În plus, mesajele modificate autorizează o sumă de retragere aleatorie între 12.000 și 30.000 de lire turcești (350 USD - 875 USD). Odată ce mesajul manipulat este trimis înapoi la sistemele centrale ale băncii, inclusiv codurile de aprobare (DE38, DE39) și suma autorizată (DE54), banca aprobă tranzacția. Un catâr de bani care lucrează în numele atacatorilor retrage apoi banii de la un bancomat.

De la descoperirea sa, se crede că această variantă Linux ocolește majoritatea instrumentelor standard de securitate, permițând atacatorilor să efectueze tranzacții frauduloase fără a fi detectați. Experții în securitate cibernetică au găsit, de asemenea, semne care sugerează că hackerii își perfecționează continuu setul de instrumente, cu dovezi ale unei noi versiuni pentru Windows a FASTCash care a apărut în septembrie 2024.