FASTCash Linux Malware

Nordkoreanska hotaktörer har utvecklat en tidigare okänd Linux-variant av skadlig programvara FASTCash, som de distribuerar för att äventyra finansiella institutioners betalningsväxlingssystem, vilket underlättar olagliga kontantuttag.

Tidigare versioner av FASTCash var kända för att rikta sig mot Windows och IBM AIX (Unix)-system. Enligt en nyligen publicerad rapport från säkerhetsforskaren HaxRob riktar sig en nyupptäckt Linux-variant nu till Ubuntu 22.04 LTS-distributioner, vilket markerar den första upptäckten av denna version.

FASTCash Malware har riktat sig mot uttagsautomater i flera år

I december 2018 utfärdade CISA (Cybersecurity and Infrastructure Security Agency) sin första varning om FASTCash ATM-utbetalningssystemet, och tillskrev aktiviteten till den nordkoreanska statssponsrade hackargruppen som heter "Hidden Cobra". Undersökningar av byrån avslöjade att angriparna hade använt FASTCash sedan åtminstone 2016, och orkestrerat samtidiga uttagsattacker från bankomat i över 30 länder, och stulit tiotals miljoner dollar per operation.

2020 larmade det amerikanska cyberkommandot igen och länkade förnyade FASTCash 2.0-aktiviteten till APT38 (Lazarus). År 2021 tillkännagavs åtal mot tre nordkoreanska individer anklagade för att ha stulit mer än 1,3 miljarder dollar från finansiella institutioner globalt.

En ny variant upptäckt av forskare

Den senaste varianten av FASTCash, som avslöjades i juni 2023, delar många operativa egenskaper med sina föregångare som riktar sig till Windows- och AIX-system. Den här versionen visas som ett delat bibliotek som injiceras i en pågående process på en betalningsväxlingsserver, med hjälp av systemanropet 'ptrace' för att koppla in nätverksfunktioner.

Betalningsväxlar fungerar som mellanhänder och underlättar kommunikationen mellan uttagsautomater eller PoS-terminaler och en banks centrala system genom att dirigera transaktionsförfrågningar och svar. Skadlig programvara utnyttjar dessa switchar genom att fånga upp och manipulera ISO8583-transaktionsmeddelanden, som är väsentliga för bank- och kreditkortshantering i finansbranschen.

Skadlig programvara riktar sig specifikt mot meddelanden som normalt skulle avvisa transaktioner på grund av otillräckliga medel på en kortinnehavares konto. Den modifierar dessa meddelanden och ersätter svaret "avvisa" med ett "godkänn".

Dessutom tillåter de ändrade meddelandena ett slumpmässigt uttagsbelopp mellan 12 000 och 30 000 turkiska lira ($350 - $875). När det manipulerade meddelandet skickas tillbaka till bankens centrala system, inklusive godkännandekoder (DE38, DE39) och det auktoriserade beloppet (DE54), godkänner banken transaktionen. En pengamula som arbetar för angriparnas räkning tar sedan ut pengarna från en bankomat.

Sedan upptäckten tros denna Linux-variant kringgå de flesta standardsäkerhetsverktyg, vilket gör att angripare kan utföra bedrägliga transaktioner utan upptäckt. Cybersäkerhetsexperter har också hittat tecken som tyder på att hackarna kontinuerligt förfinar sin verktygsuppsättning, med bevis på att en ny Windows-version av FASTCash dyker upp i september 2024.