FASTCash Linux Malware

Severokórejskí aktéri hrozieb vyvinuli predtým neznámy linuxový variant malvéru FASTCash, ktorý nasadzujú na kompromitáciu systémov prepínania platieb finančných inštitúcií, čím uľahčujú nezákonné výbery hotovosti.

Bolo známe, že staršie verzie FASTCash sa zameriavali na systémy Windows a IBM AIX (Unix). Podľa nedávnej správy bezpečnostného výskumníka HaxRob sa však novoobjavený variant Linuxu teraz zameriava na distribúcie Ubuntu 22.04 LTS, čo znamená prvú detekciu tejto verzie.

Malvér FASTCash sa zameriava na bankomaty už roky

V decembri 2018 vydala CISA (Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry) svoje prvé varovanie pred schémou výberu hotovosti z bankomatov FASTCash, pričom túto aktivitu pripísala hackerskej skupine podporovanej Severnou Kóreou s názvom „Skrytá kobra“. Vyšetrovanie agentúry odhalilo, že útočníci používali FASTCash prinajmenšom od roku 2016 a organizovali simultánne útoky na výber z bankomatov vo viac ako 30 krajinách, pričom ukradli desiatky miliónov dolárov na operáciu.

V roku 2020 americké kybernetické velenie opäť vyvolalo poplach a prepojilo obnovenú aktivitu FASTCash 2.0 s APT38 (Lazarus). Do roku 2021 boli oznámené obvinenia troch severokórejských jednotlivcov obvinených z krádeže viac ako 1,3 miliardy dolárov z finančných inštitúcií na celom svete.

Nový variant objavený výskumníkmi

Najnovší variant FASTCash, odhalený v júni 2023, zdieľa mnohé prevádzkové charakteristiky so svojimi predchodcami zameranými na systémy Windows a AIX. Táto verzia sa javí ako zdieľaná knižnica, ktorá je vložená do bežiaceho procesu na serveri prepínania platieb pomocou systémového volania „ptrace“ na pripojenie k sieťovým funkciám.

Platobné prepínače fungujú ako sprostredkovatelia, ktorí uľahčujú komunikáciu medzi bankomatmi alebo PoS terminálmi a centrálnymi systémami banky smerovaním transakčných požiadaviek a odpovedí. Malvér využíva tieto prepínače na zachytenie a manipuláciu so správami o transakciách ISO8583, ktoré sú nevyhnutné pre spracovanie debetných a kreditných kariet vo finančnom priemysle.

Malvér sa špecificky zameriava na správy, ktoré by za normálnych okolností odmietli transakcie z dôvodu nedostatku prostriedkov na účte držiteľa karty. Upravuje tieto správy a nahrádza odpoveď „odmietnuť“ odpoveďou „schváliť“.

Okrem toho pozmenené správy povoľujú náhodný výber sumy medzi 12 000 a 30 000 tureckými lírami (350 – 875 USD). Po odoslaní zmanipulovanej správy späť do centrálnych systémov banky vrátane schvaľovacích kódov (DE38, DE39) a autorizovanej sumy (DE54) banka transakciu schváli. Peňažná mulica pracujúca v mene útočníkov potom vyberie hotovosť z bankomatu.

Od svojho objavenia sa verí, že tento variant Linuxu obchádza väčšinu štandardných bezpečnostných nástrojov a umožňuje útočníkom vykonávať podvodné transakcie bez odhalenia. Odborníci na kybernetickú bezpečnosť tiež našli znaky naznačujúce, že hackeri neustále zdokonaľujú svoju súpravu nástrojov, pričom dôkazy o novej verzii FASTCash pre Windows sa objavia v septembri 2024.