FASTCash Linux Malware
Ang mga aktor ng pagbabanta sa North Korea ay nakabuo ng dati nang hindi kilalang variant ng Linux ng FASTCash malware, na kanilang idini-deploy upang ikompromiso ang mga sistema ng paglipat ng pagbabayad ng mga institusyong pampinansyal, na nagpapadali sa mga ipinagbabawal na pag-withdraw ng pera.
Ang mga naunang bersyon ng FASTCash ay kilala upang i-target ang Windows at IBM AIX (Unix) system. Gayunpaman, ayon sa isang kamakailang ulat ng tagapagpananaliksik ng seguridad na si HaxRob, ang isang bagong natuklasang variant ng Linux ay nagta-target na ngayon ng mga pamamahagi ng Ubuntu 22.04 LTS, na minarkahan ang unang pagtuklas ng bersyong ito.
Ang FASTCash Malware ay Nagta-target sa mga ATM sa loob ng maraming taon
Noong Disyembre 2018, ang CISA (Cybersecurity and Infrastructure Security Agency) ay naglabas ng una nitong babala tungkol sa FASTCash ATM cash-out scheme, na iniuugnay ang aktibidad sa North Korean state-sponsored hacking group na tinatawag na 'Hidden Cobra.' Ang mga pagsisiyasat ng ahensya ay nagsiwalat na ang mga umaatake ay gumagamit ng FASTCash mula noong hindi bababa sa 2016, na nag-oorkestra ng sabay-sabay na pag-atake sa withdrawal ng ATM sa mahigit 30 bansa, na nagnanakaw ng sampu-sampung milyong dolyar bawat operasyon.
Noong 2020, muling nag-alarm ang US Cyber Command, na nag-link sa pag-renew ng aktibidad ng FASTCash 2.0 sa APT38 (Lazarus). Pagsapit ng 2021, inihayag ang mga sakdal para sa tatlong indibidwal sa North Korea na inakusahan ng pagnanakaw ng higit sa $1.3 bilyon mula sa mga institusyong pampinansyal sa buong mundo.
Isang Bagong Variant na Nakita ng mga Mananaliksik
Ang pinakabagong variant ng FASTCash, na natuklasan noong Hunyo 2023, ay nagbabahagi ng maraming katangian ng pagpapatakbo sa mga nauna nito na nagta-target sa Windows at AIX system. Ang bersyon na ito ay lumilitaw bilang isang nakabahaging library na ini-inject sa isang tumatakbong proseso sa isang server ng switch ng pagbabayad, gamit ang 'ptrace' system call upang i-hook sa mga function ng network.
Ang mga switch sa pagbabayad ay kumikilos bilang mga tagapamagitan, na nagpapadali sa komunikasyon sa pagitan ng mga ATM o mga terminal ng PoS at mga sentral na sistema ng bangko sa pamamagitan ng pagruruta ng mga kahilingan at tugon sa transaksyon. Sinasamantala ng malware ang mga switch na ito sa pamamagitan ng pagharang at pagmamanipula ng mga mensahe ng transaksyong ISO8583, na mahalaga para sa pagpoproseso ng debit at credit card sa industriya ng pananalapi.
Ang malware ay partikular na nagta-target ng mga mensahe na karaniwang tumatanggi sa mga transaksyon dahil sa hindi sapat na pondo sa account ng isang cardholder. Binabago nito ang mga mensaheng ito, pinapalitan ang tugon na 'pagtanggi' ng tugon na 'aprubahan'.
Bilang karagdagan, pinahihintulutan ng mga binagong mensahe ang isang random na halaga ng withdrawal sa pagitan ng 12,000 at 30,000 Turkish Lira ($350 - $875). Kapag naipadala na ang minanipuladong mensahe sa mga central system ng bangko, kasama ang mga code ng pag-apruba (DE38, DE39) at ang awtorisadong halaga (DE54), inaaprubahan ng bangko ang transaksyon. Ang isang money mule na nagtatrabaho sa ngalan ng mga umaatake ay nag-withdraw ng pera mula sa isang ATM.
Mula nang matuklasan, ang variant ng Linux na ito ay pinaniniwalaan na na-bypass ang karamihan sa mga karaniwang tool sa seguridad, na nagpapahintulot sa mga umaatake na magsagawa ng mga mapanlinlang na transaksyon nang walang detection. Nakakita rin ang mga eksperto sa cybersecurity ng mga palatandaan na nagmumungkahi na ang mga hacker ay patuloy na pinipino ang kanilang toolset, na may ebidensya ng isang bagong bersyon ng Windows ng FASTCash na umuusbong noong Setyembre 2024.
