ФАСТЦасх Линук малвер

Севернокорејски актери претњи развили су раније непознату Линук варијанту малвера ФАСТЦасх, коју примењују да би компромитовали системе за пребацивање плаћања у финансијским институцијама, олакшавајући незаконито подизање готовине.

Познато је да су раније верзије ФАСТЦасх-а циљале на Виндовс и ИБМ АИКС (Уник) системе. Међутим, према недавном извештају истраживача безбедности ХакРоб-а, новооткривена Линук варијанта сада циља на Убунту 22.04 ЛТС дистрибуције, означавајући прво откривање ове верзије.

Злонамерни софтвер ФАСТЦасх већ годинама циља на банкомате

У децембру 2018, ЦИСА (Агенција за сајбер безбедност и инфраструктурну безбедност) издала је своје прво упозорење о шеми исплате готовине на банкоматима ФАСТЦасх, приписујући активност хакерској групи коју спонзорише севернокорејска држава под називом „Скривена кобра“. Истраге које је спровела агенција откриле су да су нападачи користили ФАСТЦасх од најмање 2016. године, оркестрирајући истовремене нападе подизања банкомата у преко 30 земаља, крадујући десетине милиона долара по операцији.

Године 2020, америчка сајбер команда је поново подигла узбуну, повезујући обновљену активност ФАСТЦасх 2.0 са АПТ38 (Лазарус). До 2021. године објављене су оптужнице за три особе из Северне Кореје оптужене за крађу више од 1,3 милијарде долара од финансијских институција широм света.

Нова варијанта коју су уочили истраживачи

Најновија варијанта ФАСТЦасх-а, откривена у јуну 2023., дели многе оперативне карактеристике са својим претходницима који циљају на Виндовс и АИКС системе. Ова верзија се појављује као заједничка библиотека која се убацује у покренути процес на серверу за пребацивање плаћања, користећи системски позив 'птраце' за повезивање са мрежним функцијама.

Прекидачи плаћања делују као посредници, олакшавајући комуникацију између банкомата или ПоС терминала и централних система банке усмеравањем захтева за трансакције и одговора. Злонамерни софтвер искоришћава ове прекидаче тако што пресреће и манипулише порукама о трансакцијама ИСО8583, које су неопходне за обраду дебитних и кредитних картица у финансијској индустрији.

Злонамерни софтвер посебно циља на поруке које би обично одбиле трансакције због недовољних средстава на рачуну власника картице. Он модификује ове поруке, замењујући одговор 'одбиј' одговором 'одобри'.

Поред тога, измењене поруке дозвољавају насумични износ за повлачење између 12.000 и 30.000 турских лира (350 - 875 долара). Када се изманипулисана порука врати у централне системе банке, укључујући кодове одобрења (ДЕ38, ДЕ39) и ауторизовани износ (ДЕ54), банка одобрава трансакцију. Новац који ради у име нападача тада подиже готовину са банкомата.

Од свог открића, верује се да ова варијанта Линука заобилази већину стандардних безбедносних алата, омогућавајући нападачима да изврше лажне трансакције без откривања. Стручњаци за сајбер безбедност такође су пронашли знакове који указују на то да хакери континуирано усавршавају свој скуп алата, са доказима о новој верзији Виндовс-а ФАСТЦасх-а која се појављује у септембру 2024.