Шкідливе програмне забезпечення FASTCash Linux

Північнокорейські зловмисники розробили раніше невідомий варіант шкідливого програмного забезпечення FASTCash для Linux, який вони розгортають для компрометації систем платіжних комутаторів фінансових установ, полегшуючи незаконне зняття готівки.

Відомо, що попередні версії FASTCash націлені на системи Windows і IBM AIX (Unix). Однак, згідно з нещодавнім звітом дослідника безпеки HaxRob, нещодавно виявлений варіант Linux тепер націлений на дистрибутиви Ubuntu 22.04 LTS, що є першим виявленням цієї версії.

Зловмисне програмне забезпечення FASTCash вже багато років націлюється на банкомати

У грудні 2018 року CISA (Агентство кібербезпеки та безпеки інфраструктури) випустило своє перше попередження про схему виведення готівки в банкоматах FASTCash, приписавши цю діяльність спонсорованій державою Північній Кореї хакерській групі під назвою «Прихована Кобра». Розслідування агентства показало, що зловмисники використовували FASTCash принаймні з 2016 року, організовуючи одночасні атаки з банкоматів у понад 30 країнах, викрадаючи десятки мільйонів доларів за операцію.

У 2020 році кіберкомандування США знову порушило тривогу, пов’язавши відновлену активність FASTCash 2.0 з APT38 (Lazarus). До 2021 року було оголошено звинувачення трьом північнокорейським особам, звинуваченим у крадіжці понад 1,3 мільярда доларів із фінансових установ у всьому світі.

Новий варіант, помічений дослідниками

Останній варіант FASTCash, відкритий у червні 2023 року, має багато спільних робочих характеристик зі своїми попередниками, націленими на системи Windows і AIX. Ця версія виглядає як спільна бібліотека, яка впроваджується в запущений процес на сервері комутатора платежів, використовуючи системний виклик ptrace для підключення до мережевих функцій.

Платіжні комутатори діють як посередники, полегшуючи зв’язок між банкоматами або терміналами PoS і центральними системами банку шляхом маршрутизації запитів і відповідей на транзакції. Зловмисне програмне забезпечення використовує ці перемикачі, перехоплюючи та маніпулюючи повідомленнями транзакцій ISO8583, які є важливими для обробки дебетових і кредитних карток у фінансовій галузі.

Зловмисне програмне забезпечення спеціально націлено на повідомлення, які зазвичай відхиляють транзакції через недостатню кількість коштів на рахунку власника картки. Він змінює ці повідомлення, замінюючи відповідь «відхилити» на відповідь «схвалити».

Крім того, змінені повідомлення дозволяють випадкове зняття суми від 12 000 до 30 000 турецьких лір ($350 - $875). Після того, як оброблене повідомлення надсилається назад до центральних систем банку, включаючи коди схвалення (DE38, DE39) і авторизовану суму (DE54), банк схвалює транзакцію. Потім грошовий мул, який працює від імені зловмисників, знімає готівку з банкомату.

З моменту свого відкриття вважається, що цей варіант Linux обходить більшість стандартних інструментів безпеки, дозволяючи зловмисникам здійснювати шахрайські транзакції без виявлення. Експерти з кібербезпеки також виявили ознаки, які свідчать про те, що хакери постійно вдосконалюють свій набір інструментів, і є докази появи нової версії FASTCash для Windows у вересні 2024 року.