Malware FASTCash Linux

Aktorët e kërcënimit të Koresë së Veriut kanë zhvilluar një variant Linux të panjohur më parë të malware FASTCash, të cilin ata po e përdorin për të komprometuar sistemet e kalimit të pagesave të institucioneve financiare, duke lehtësuar tërheqjet e paligjshme të parave.

Versionet e mëparshme të FASTCash dihej se synonin sistemet Windows dhe IBM AIX (Unix). Megjithatë, sipas një raporti të fundit nga studiuesi i sigurisë HaxRob, një variant Linux i sapo zbuluar tani po synon shpërndarjet e Ubuntu 22.04 LTS, duke shënuar zbulimin e parë të këtij versioni.

Malware FASTCash ka synuar ATM-të prej vitesh

Në dhjetor 2018, CISA (Agjencia e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës) lëshoi paralajmërimin e saj të parë në lidhje me skemën e marrjes së parave nga ATM FASTCash, duke ia atribuar aktivitetin grupit të hakerëve të sponsorizuar nga shteti i Koresë së Veriut të quajtur 'Hidden Cobra'. Hetimet nga agjencia zbuluan se sulmuesit kishin përdorur FASTCash që të paktën që nga viti 2016, duke orkestruar sulme të njëkohshme për tërheqje nga ATM në mbi 30 vende, duke vjedhur dhjetëra miliona dollarë për operacion.

Në vitin 2020, Komanda Kibernetike e SHBA ngriti sërish alarmet, duke e lidhur aktivitetin e rinovuar të FASTCash 2.0 me APT38 (Lazarus). Deri në vitin 2021, u shpallën padi për tre individë të Koresë së Veriut të akuzuar për vjedhjen e më shumë se 1.3 miliardë dollarëve nga institucionet financiare në mbarë botën.

Një variant i ri i zbuluar nga studiuesit

Varianti më i fundit i FASTCash, i zbuluar në qershor 2023, ndan shumë karakteristika operacionale me paraardhësit e tij që synojnë sistemet Windows dhe AIX. Ky version shfaqet si një bibliotekë e përbashkët që injektohet në një proces të ekzekutuar në një server të ndërprerësit të pagesave, duke përdorur thirrjen e sistemit 'ptrace' për t'u lidhur me funksionet e rrjetit.

Çelësat e pagesave veprojnë si ndërmjetës, duke lehtësuar komunikimin midis ATM-ve ose terminaleve PoS dhe sistemeve qendrore të një banke duke drejtuar kërkesat dhe përgjigjet e transaksioneve. Malware i shfrytëzon këta ndërprerës duke përgjuar dhe manipuluar mesazhet e transaksionit ISO8583, të cilat janë thelbësore për përpunimin e kartave të debitit dhe kreditit në industrinë financiare.

Malware synon në mënyrë specifike mesazhet që normalisht do të refuzonin transaksionet për shkak të fondeve të pamjaftueshme në llogarinë e mbajtësit të kartës. Ai modifikon këto mesazhe, duke zëvendësuar përgjigjen 'refuzim' me një përgjigje 'mirato'.

Përveç kësaj, mesazhet e ndryshuara autorizojnë një shumë të rastësishme tërheqjeje midis 12,000 dhe 30,000 Lira Turke (350 - 875 dollarë). Pasi mesazhi i manipuluar të dërgohet përsëri në sistemet qendrore të bankës, duke përfshirë kodet e miratimit (DE38, DE39) dhe shumën e autorizuar (DE54), banka miraton transaksionin. Një mushkë parash që punon në emër të sulmuesve më pas tërheq paratë nga një ATM.

Që nga zbulimi i tij, ky variant Linux besohet të anashkalojë shumicën e mjeteve standarde të sigurisë, duke i lejuar sulmuesit të kryejnë transaksione mashtruese pa u zbuluar. Ekspertët e sigurisë kibernetike kanë gjetur gjithashtu shenja që sugjerojnë se hakerët po përpunojnë vazhdimisht grupin e tyre të mjeteve, me prova të një versioni të ri të Windows të FASTCash që u shfaq në shtator 2024.