FASTCash Linux Kötü Amaçlı Yazılım

Kuzey Koreli tehdit aktörleri, finansal kuruluşların ödeme anahtarlama sistemlerini tehlikeye atmak ve yasadışı nakit çekimlerini kolaylaştırmak için FASTCash adlı kötü amaçlı yazılımın daha önce bilinmeyen bir Linux sürümünü geliştirdiler.

FASTCash'in önceki sürümlerinin Windows ve IBM AIX (Unix) sistemlerini hedef aldığı biliniyordu. Ancak güvenlik araştırmacısı HaxRob'un yakın tarihli bir raporuna göre, yeni keşfedilen bir Linux varyantı artık Ubuntu 22.04 LTS dağıtımlarını hedef alıyor ve bu sürümün ilk tespiti olarak kayıtlara geçti.

FASTCash Kötü Amaçlı Yazılımı Yıllardır ATM'leri Hedef Alıyor

Aralık 2018'de CISA (Siber Güvenlik ve Altyapı Güvenlik Ajansı), FASTCash ATM nakit çekme planı hakkında ilk uyarısını yayınlayarak, faaliyeti 'Hidden Cobra' adlı Kuzey Kore devlet destekli bilgisayar korsanı grubuna bağladı. Ajansın soruşturmaları, saldırganların en az 2016'dan beri FASTCash kullandığını, 30'dan fazla ülkede eş zamanlı ATM çekim saldırıları düzenleyerek işlem başına onlarca milyonlarca dolar çaldıklarını ortaya koydu.

2020'de ABD Siber Komutanlığı, FASTCash 2.0 faaliyetinin yenilendiğini APT38'e (Lazarus) bağlayarak tekrar alarm verdi. 2021'e gelindiğinde, küresel olarak finansal kurumlardan 1,3 milyar dolardan fazla para çalmakla suçlanan üç Kuzey Koreli birey için iddianameler duyuruldu.

Araştırmacılar Tarafından Yeni Bir Varyant Tespit Edildi

Haziran 2023'te keşfedilen FASTCash'in son çeşidi, Windows ve AIX sistemlerini hedefleyen öncülleriyle birçok operasyonel özelliği paylaşıyor. Bu sürüm, ağ işlevlerine bağlanmak için 'ptrace' sistem çağrısını kullanarak bir ödeme anahtarı sunucusunda çalışan bir işleme enjekte edilen paylaşımlı bir kitaplık olarak görünüyor.

Ödeme anahtarları, işlem isteklerini ve yanıtlarını yönlendirerek ATM'ler veya PoS terminalleri ile bir bankanın merkezi sistemleri arasındaki iletişimi kolaylaştıran aracılar olarak hareket eder. Kötü amaçlı yazılım, finans sektöründe banka kartı ve kredi kartı işlemleri için önemli olan ISO8583 işlem mesajlarını yakalayıp manipüle ederek bu anahtarları istismar eder.

Kötü amaçlı yazılım, normalde kart sahibinin hesabındaki yetersiz bakiye nedeniyle işlemleri reddedecek mesajları hedef alır. Bu mesajları değiştirerek 'reddet' yanıtını 'onay' yanıtıyla değiştirir.

Ek olarak, değiştirilmiş mesajlar 12.000 ile 30.000 Türk Lirası (350 - 875 $) arasında rastgele bir çekim miktarını yetkilendirir. Değiştirilmiş mesaj, onay kodları (DE38, DE39) ve yetkilendirilmiş miktar (DE54) dahil olmak üzere bankanın merkezi sistemlerine geri gönderildiğinde, banka işlemi onaylar. Saldırganlar adına çalışan bir para katırı daha sonra parayı bir ATM'den çeker.

Keşfedildiği günden bu yana, bu Linux varyantının çoğu standart güvenlik aracını atlattığı ve saldırganların tespit edilmeden hileli işlemler gerçekleştirmesine olanak tanıdığı düşünülüyor. Siber güvenlik uzmanları ayrıca, Eylül 2024'te FASTCash'in yeni bir Windows sürümünün ortaya çıkmasıyla birlikte, bilgisayar korsanlarının araç setlerini sürekli olarak iyileştirdiğine dair işaretler buldular.