Вредоносное ПО FASTCash Linux

Злоумышленники из Северной Кореи разработали ранее неизвестную версию вредоносного ПО FASTCash для Linux, которую они используют для взлома платежных систем финансовых учреждений, облегчая незаконное снятие наличных.

Известно, что более ранние версии FASTCash были нацелены на системы Windows и IBM AIX (Unix). Однако, согласно недавнему отчету исследователя безопасности HaxRob, недавно обнаруженный вариант Linux теперь нацелен на дистрибутивы Ubuntu 22.04 LTS, что является первым обнаружением этой версии.

Вредоносное ПО FASTCash уже много лет атакует банкоматы

В декабре 2018 года CISA (Агентство по кибербезопасности и безопасности инфраструктуры) выпустило первое предупреждение о схеме обналичивания средств в банкоматах FASTCash, приписав эту деятельность северокорейской государственной хакерской группе под названием «Скрытая кобра». Расследования агентства показали, что злоумышленники использовали FASTCash как минимум с 2016 года, организуя одновременные атаки по обналичиванию средств в банкоматах более чем в 30 странах, похищая десятки миллионов долларов за одну операцию.

В 2020 году киберкомандование США снова подняло тревогу, связав возобновленную деятельность FASTCash 2.0 с APT38 (Lazarus). К 2021 году были объявлены обвинительные заключения в отношении трех северокорейских граждан, обвиняемых в краже более 1,3 млрд долларов из финансовых учреждений по всему миру.

Исследователи обнаружили новый вариант

Последняя версия FASTCash, обнаруженная в июне 2023 года, разделяет многие эксплуатационные характеристики со своими предшественниками, нацеленными на системы Windows и AIX. Эта версия выглядит как общая библиотека, которая внедряется в запущенный процесс на сервере-коммутаторе платежей, используя системный вызов 'ptrace' для подключения к сетевым функциям.

Платежные коммутаторы действуют как посредники, облегчая связь между банкоматами или PoS-терминалами и центральными системами банка, маршрутизируя запросы и ответы на транзакции. Вредоносная программа использует эти коммутаторы, перехватывая и манипулируя сообщениями о транзакциях ISO8583, которые необходимы для обработки дебетовых и кредитных карт в финансовой отрасли.

Вредоносное ПО специально нацелено на сообщения, которые обычно отклоняют транзакции из-за недостатка средств на счете держателя карты. Оно изменяет эти сообщения, заменяя ответ «отклонить» на ответ «одобрить».

Кроме того, измененные сообщения разрешают снятие случайной суммы от 12 000 до 30 000 турецких лир (от 350 до 875 долларов США). После того, как измененное сообщение отправляется обратно в центральные системы банка, включая коды одобрения (DE38, DE39) и авторизованную сумму (DE54), банк одобряет транзакцию. Денежный мул, работающий от имени злоумышленников, затем снимает наличные в банкомате.

С момента своего открытия этот вариант Linux, как полагают, обходит большинство стандартных инструментов безопасности, позволяя злоумышленникам проводить мошеннические транзакции без обнаружения. Эксперты по кибербезопасности также обнаружили признаки, указывающие на то, что хакеры постоянно совершенствуют свой набор инструментов, с доказательствами появления новой версии FASTCash для Windows в сентябре 2024 года.