FASTCash Linux మాల్వేర్

ఉత్తర కొరియా బెదిరింపు నటులు FASTCash మాల్వేర్ యొక్క మునుపు తెలియని Linux వేరియంట్‌ను అభివృద్ధి చేశారు, వారు ఆర్థిక సంస్థల చెల్లింపు స్విచ్ సిస్టమ్‌లను రాజీ చేయడానికి, అక్రమ నగదు ఉపసంహరణలను సులభతరం చేయడానికి అమలు చేస్తున్నారు.

FASTCash యొక్క మునుపటి సంస్కరణలు Windows మరియు IBM AIX (Unix) సిస్టమ్‌లను లక్ష్యంగా చేసుకున్నాయి. అయితే, భద్రతా పరిశోధకుడు HaxRob యొక్క ఇటీవలి నివేదిక ప్రకారం, కొత్తగా వెలికితీసిన Linux వేరియంట్ ఇప్పుడు Ubuntu 22.04 LTS పంపిణీలను లక్ష్యంగా చేసుకుంటోంది, ఈ సంస్కరణ యొక్క మొదటి గుర్తింపును సూచిస్తుంది.

FASTCash మాల్వేర్ సంవత్సరాలుగా ATMలను లక్ష్యంగా చేసుకుంటోంది

డిసెంబర్ 2018లో, CISA (సైబర్‌సెక్యూరిటీ అండ్ ఇన్‌ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ ఏజెన్సీ) FASTCash ATM క్యాష్-అవుట్ స్కీమ్ గురించి మొదటి హెచ్చరికను జారీ చేసింది, 'హిడెన్ కోబ్రా' అని పిలవబడే ఉత్తర కొరియా రాష్ట్ర-ప్రాయోజిత హ్యాకింగ్ గ్రూప్ కార్యకలాపాలకు ఆపాదించబడింది. దాడి చేసినవారు కనీసం 2016 నుండి FASTCashని ఉపయోగిస్తున్నారని, 30కి పైగా దేశాలలో ఏకకాలంలో ATM ఉపసంహరణ దాడులను నిర్వహించి, ఒక్కో ఆపరేషన్‌కి పదిలక్షల డాలర్లను దొంగిలించారని ఏజెన్సీ చేసిన పరిశోధనలు వెల్లడించాయి.

2020లో, US సైబర్ కమాండ్ మళ్లీ అలారంలను పెంచింది, FASTCash 2.0 కార్యాచరణను APT38 (Lazarus)కి లింక్ చేయడం ద్వారా పునరుద్ధరించబడింది. 2021 నాటికి, ప్రపంచవ్యాప్తంగా ఆర్థిక సంస్థల నుండి $1.3 బిలియన్లకు పైగా దొంగిలించారని ఆరోపించిన ముగ్గురు ఉత్తర కొరియా వ్యక్తులపై నేరారోపణలు ప్రకటించబడ్డాయి.

పరిశోధకులచే గుర్తించబడిన కొత్త వేరియంట్

FASTCash యొక్క తాజా వేరియంట్, జూన్ 2023లో కనుగొనబడింది, Windows మరియు AIX సిస్టమ్‌లను లక్ష్యంగా చేసుకుని దాని పూర్వీకులతో అనేక కార్యాచరణ లక్షణాలను పంచుకుంటుంది. నెట్‌వర్క్ ఫంక్షన్‌లలోకి హుక్ చేయడానికి 'ptrace' సిస్టమ్ కాల్‌ని ఉపయోగించి చెల్లింపు స్విచ్ సర్వర్‌లో నడుస్తున్న ప్రక్రియలో ఇంజెక్ట్ చేయబడిన షేర్డ్ లైబ్రరీ వలె ఈ సంస్కరణ కనిపిస్తుంది.

చెల్లింపు స్విచ్‌లు మధ్యవర్తులుగా పనిచేస్తాయి, లావాదేవీ అభ్యర్థనలు మరియు ప్రతిస్పందనలను రూట్ చేయడం ద్వారా ATMలు లేదా PoS టెర్మినల్స్ మరియు బ్యాంక్ సెంట్రల్ సిస్టమ్‌ల మధ్య కమ్యూనికేషన్‌ను సులభతరం చేస్తాయి. ఆర్థిక పరిశ్రమలో డెబిట్ మరియు క్రెడిట్ కార్డ్ ప్రాసెసింగ్‌కు అవసరమైన ISO8583 లావాదేవీ సందేశాలను అడ్డగించడం మరియు మార్చడం ద్వారా మాల్వేర్ ఈ స్విచ్‌లను దోపిడీ చేస్తుంది.

కార్డ్ హోల్డర్ ఖాతాలో తగినంత నిధులు లేనందున సాధారణంగా లావాదేవీలను తిరస్కరించే సందేశాలను మాల్వేర్ ప్రత్యేకంగా లక్ష్యంగా చేసుకుంటుంది. ఇది ఈ సందేశాలను సవరిస్తుంది, 'డిక్లైన్' ప్రతిస్పందనను 'ఆమోదించు' ప్రతిస్పందనతో భర్తీ చేస్తుంది.

అదనంగా, మార్చబడిన సందేశాలు 12,000 మరియు 30,000 టర్కిష్ లిరా ($350 - $875) మధ్య యాదృచ్ఛిక ఉపసంహరణ మొత్తాన్ని అనుమతిస్తాయి. ఆమోదం కోడ్‌లు (DE38, DE39) మరియు అధీకృత మొత్తం (DE54)తో సహా బ్యాంక్ సెంట్రల్ సిస్టమ్‌లకు మానిప్యులేట్ చేయబడిన సందేశం తిరిగి పంపబడిన తర్వాత, బ్యాంక్ లావాదేవీని ఆమోదిస్తుంది. దాడి చేసిన వారి తరపున పని చేసే మనీ మ్యూల్ ATM నుండి నగదును ఉపసంహరించుకుంటుంది.

కనుగొనబడినప్పటి నుండి, ఈ Linux వేరియంట్ చాలా ప్రామాణిక భద్రతా సాధనాలను దాటవేస్తుందని నమ్ముతారు, దాడి చేసేవారు గుర్తించకుండా మోసపూరిత లావాదేవీలను నిర్వహించడానికి అనుమతిస్తుంది. సెప్టెంబరు 2024లో వెలువడుతున్న FASTCash యొక్క కొత్త Windows వెర్షన్ సాక్ష్యంతో హ్యాకర్లు తమ టూల్‌సెట్‌ను నిరంతరం మెరుగుపరుచుకుంటున్నారని సూచించే సంకేతాలను సైబర్‌ సెక్యూరిటీ నిపుణులు కనుగొన్నారు.