มัลแวร์ FASTCash Linux

ผู้ก่อให้เกิดภัยคุกคามจากเกาหลีเหนือได้พัฒนามัลแวร์ FASTCash เวอร์ชัน Linux ที่ไม่เคยรู้จักมาก่อน ซึ่งพวกเขานำมาใช้เพื่อเจาะระบบการสลับการชำระเงินของสถาบันการเงิน และทำให้สามารถถอนเงินสดผิดกฎหมายได้

FASTCash เวอร์ชันก่อนหน้าเป็นที่ทราบกันดีว่ามีเป้าหมายโจมตีระบบ Windows และ IBM AIX (Unix) อย่างไรก็ตาม ตามรายงานล่าสุดของนักวิจัยด้านความปลอดภัย HaxRob พบว่าเวอร์ชัน Linux ที่เพิ่งค้นพบใหม่กำลังกำหนดเป้าหมายไปที่ระบบปฏิบัติการ Ubuntu 22.04 LTS ซึ่งถือเป็นการตรวจพบเวอร์ชันนี้เป็นครั้งแรก

มัลแวร์ FASTCash ได้โจมตีตู้ ATM มานานหลายปีแล้ว

ในเดือนธันวาคม 2561 CISA (หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน) ได้ออกคำเตือนครั้งแรกเกี่ยวกับแผนการถอนเงินสดจากตู้ ATM ของ FASTCash โดยระบุว่ากิจกรรมดังกล่าวเป็นฝีมือของกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือที่มีชื่อว่า 'Hidden Cobra' การสืบสวนของหน่วยงานดังกล่าวเผยให้เห็นว่าผู้โจมตีใช้ FASTCash มาตั้งแต่ปี 2559 เป็นอย่างน้อย โดยวางแผนโจมตีการถอนเงินจากตู้ ATM พร้อมกันในกว่า 30 ประเทศ ขโมยเงินได้หลายสิบล้านดอลลาร์ต่อครั้ง

ในปี 2020 หน่วยบัญชาการไซเบอร์ของสหรัฐฯ ได้ส่งสัญญาณเตือนอีกครั้ง โดยเชื่อมโยงกิจกรรม FASTCash 2.0 กับ APT38 (Lazarus) อีกครั้ง ในปี 2021 มีการประกาศตั้งข้อกล่าวหาบุคคลชาวเกาหลีเหนือ 3 รายที่ถูกกล่าวหาว่าขโมยเงินจากสถาบันการเงินทั่วโลกไปกว่า 1.3 พันล้านดอลลาร์

นักวิจัยพบสายพันธุ์ใหม่

FASTCash เวอร์ชันล่าสุดซึ่งเปิดตัวในเดือนมิถุนายน 2023 มีลักษณะการทำงานหลายอย่างเหมือนกับรุ่นก่อนๆ ที่กำหนดเป้าหมายไปที่ระบบ Windows และ AIX เวอร์ชันนี้ปรากฏเป็นไลบรารีที่แชร์ได้ซึ่งถูกแทรกเข้าไปในกระบวนการที่กำลังทำงานบนเซิร์ฟเวอร์สวิตช์การชำระเงินโดยใช้การเรียกใช้ระบบ 'ptrace' เพื่อเชื่อมต่อกับฟังก์ชันเครือข่าย

สวิตช์การชำระเงินทำหน้าที่เป็นตัวกลางที่อำนวยความสะดวกในการสื่อสารระหว่างตู้ ATM หรือเครื่องรูดบัตรกับระบบส่วนกลางของธนาคารโดยกำหนดเส้นทางคำขอและการตอบสนองของธุรกรรม มัลแวร์ใช้ประโยชน์จากสวิตช์เหล่านี้โดยดักจับและจัดการข้อความธุรกรรม ISO8583 ซึ่งมีความสำคัญต่อการประมวลผลบัตรเดบิตและบัตรเครดิตในอุตสาหกรรมการเงิน

มัลแวร์มุ่งเป้าไปที่ข้อความที่ปกติแล้วจะปฏิเสธธุรกรรมเนื่องจากเงินในบัญชีของผู้ถือบัตรไม่เพียงพอ โดยจะแก้ไขข้อความเหล่านี้โดยแทนที่ข้อความตอบกลับ 'ปฏิเสธ' ด้วยข้อความตอบกลับ 'อนุมัติ'

นอกจากนี้ ข้อความที่ถูกดัดแปลงยังอนุญาตให้ถอนเงินแบบสุ่มได้ระหว่าง 12,000 ถึง 30,000 ลีราตุรกี (350 ถึง 875 ดอลลาร์) เมื่อข้อความที่ถูกดัดแปลงถูกส่งกลับไปยังระบบกลางของธนาคาร ซึ่งรวมถึงรหัสอนุมัติ (DE38, DE39) และจำนวนเงินที่ได้รับอนุญาต (DE54) ธนาคารจะอนุมัติธุรกรรมดังกล่าว จากนั้นผู้ลักลอบนำเงินที่ทำงานให้กับผู้โจมตีจะถอนเงินจากตู้ ATM

นับตั้งแต่มีการค้นพบ เชื่อกันว่าเวอร์ชัน Linux นี้สามารถหลีกเลี่ยงเครื่องมือรักษาความปลอดภัยมาตรฐานส่วนใหญ่ได้ ทำให้ผู้โจมตีสามารถทำธุรกรรมฉ้อโกงได้โดยไม่ถูกจับได้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ยังพบสัญญาณที่บ่งชี้ว่าแฮกเกอร์กำลังปรับปรุงชุดเครื่องมือของตนอย่างต่อเนื่อง โดยมีหลักฐานว่า FASTCash เวอร์ชัน Windows ใหม่จะเปิดตัวในเดือนกันยายน 2024