Zlonamerna programska oprema FASTCash Linux

Severnokorejski akterji groženj so razvili doslej neznano različico zlonamerne programske opreme FASTCash za Linux, ki jo uporabljajo za ogrožanje sistemov plačilnih stikal finančnih institucij, kar omogoča nedovoljene dvige gotovine.

Znano je, da so prejšnje različice FASTCash namenjene sistemom Windows in IBM AIX (Unix). Vendar pa glede na nedavno poročilo varnostnega raziskovalca HaxRoba na novo odkrita različica Linuxa zdaj cilja na distribucije Ubuntu 22.04 LTS, kar pomeni prvo odkritje te različice.

Zlonamerna programska oprema FASTCash že leta cilja na bankomate

Decembra 2018 je CISA (Agencija za kibernetsko varnost in varnost infrastrukture) izdala svoje prvo opozorilo o shemi izplačevanja bankomatov FASTCash, pri čemer je dejavnost pripisala severnokorejski državno sponzorirani hekerski skupini, imenovani 'Hidden Cobra.' Preiskave agencije so pokazale, da so napadalci uporabljali FASTCash vsaj od leta 2016, pri čemer so organizirali hkratne napade na bankomate v več kot 30 državah in ukradli na desetine milijonov dolarjev na operacijo.

Leta 2020 je ameriško kibernetsko poveljstvo znova sprožilo alarm in povezalo prenovljeno aktivnost FASTCash 2.0 z APT38 (Lazarus). Do leta 2021 so bile objavljene obtožnice za tri severnokorejske posameznike, obtožene kraje več kot 1,3 milijarde dolarjev finančnih institucij po vsem svetu.

Nova različica, ki so jo opazili raziskovalci

Najnovejša različica FASTCash, odkrita junija 2023, si deli številne operativne značilnosti s svojimi predhodniki, ki ciljajo na sisteme Windows in AIX. Ta različica je prikazana kot knjižnica v skupni rabi, ki je vstavljena v tekoči proces na strežniku za zamenjavo plačil z uporabo sistemskega klica 'ptrace' za priključitev na omrežne funkcije.

Plačilna stikala delujejo kot posredniki, ki olajšajo komunikacijo med bankomati ali terminali POS in centralnimi sistemi banke z usmerjanjem zahtevkov za transakcije in odgovorov. Zlonamerna programska oprema izkorišča ta stikala s prestrezanjem in manipulacijo transakcijskih sporočil ISO8583, ki so bistvena za obdelavo debetnih in kreditnih kartic v finančni industriji.

Zlonamerna programska oprema posebej cilja na sporočila, ki bi običajno zavrnila transakcije zaradi nezadostnih sredstev na računu imetnika kartice. Spremeni ta sporočila in zamenja odgovor 'zavrni' z odgovorom 'odobri'.

Poleg tega spremenjena sporočila dovoljujejo naključni znesek dviga med 12.000 in 30.000 turškimi lirami ($350 - $875). Ko je manipulirano sporočilo poslano nazaj v centralne sisteme banke, vključno s kodami odobritve (DE38, DE39) in avtoriziranim zneskom (DE54), banka odobri transakcijo. Denarna mula, ki dela v imenu napadalcev, nato dvigne gotovino z bankomata.

Od odkritja se domneva, da ta različica Linuxa zaobide večino standardnih varnostnih orodij in napadalcem omogoča izvajanje goljufivih transakcij brez odkritja. Strokovnjaki za kibernetsko varnost so odkrili tudi znake, ki kažejo, da hekerji nenehno izpopolnjujejo svoj nabor orodij, z dokazi o novi različici FASTCash za Windows, ki se pojavi septembra 2024.