Phần mềm độc hại FASTCash Linux

Các tác nhân đe dọa từ Triều Tiên đã phát triển một biến thể Linux chưa từng được biết đến của phần mềm độc hại FASTCash, được triển khai để xâm nhập vào hệ thống chuyển mạch thanh toán của các tổ chức tài chính, tạo điều kiện cho việc rút tiền mặt bất hợp pháp.

Các phiên bản trước của FASTCash được biết là nhắm vào các hệ thống Windows và IBM AIX (Unix). Tuy nhiên, theo báo cáo gần đây của nhà nghiên cứu bảo mật HaxRob, một biến thể Linux mới được phát hiện hiện đang nhắm vào các bản phân phối Ubuntu 22.04 LTS, đánh dấu lần đầu tiên phát hiện ra phiên bản này.

Phần mềm độc hại FASTCash đã nhắm mục tiêu vào các máy ATM trong nhiều năm

Vào tháng 12 năm 2018, CISA (Cơ quan An ninh mạng và Cơ sở hạ tầng) đã đưa ra cảnh báo đầu tiên về chương trình rút tiền ATM FASTCash, quy kết hoạt động này cho nhóm tin tặc do nhà nước Triều Tiên tài trợ có tên là 'Hidden Cobra'. Các cuộc điều tra của cơ quan này cho thấy những kẻ tấn công đã sử dụng FASTCash kể từ ít nhất năm 2016, dàn dựng các cuộc tấn công rút tiền ATM đồng thời ở hơn 30 quốc gia, đánh cắp hàng chục triệu đô la cho mỗi hoạt động.

Vào năm 2020, Bộ Tư lệnh Không gian mạng Hoa Kỳ lại gióng lên hồi chuông báo động, liên kết hoạt động FASTCash 2.0 mới với APT38 (Lazarus). Đến năm 2021, các bản cáo trạng đã được công bố đối với ba cá nhân Triều Tiên bị cáo buộc đánh cắp hơn 1,3 tỷ đô la từ các tổ chức tài chính trên toàn cầu.

Một biến thể mới được các nhà nghiên cứu phát hiện

Phiên bản mới nhất của FASTCash, được phát hiện vào tháng 6 năm 2023, có nhiều đặc điểm hoạt động giống với phiên bản trước nhắm vào hệ thống Windows và AIX. Phiên bản này xuất hiện dưới dạng thư viện dùng chung được đưa vào quy trình đang chạy trên máy chủ chuyển mạch thanh toán, sử dụng lệnh gọi hệ thống 'ptrace' để móc vào các chức năng mạng.

Các công tắc thanh toán đóng vai trò trung gian, tạo điều kiện thuận lợi cho việc giao tiếp giữa các máy ATM hoặc thiết bị đầu cuối PoS và các hệ thống trung tâm của ngân hàng bằng cách định tuyến các yêu cầu và phản hồi giao dịch. Phần mềm độc hại khai thác các công tắc này bằng cách chặn và thao túng các thông báo giao dịch ISO8583, vốn rất cần thiết cho việc xử lý thẻ ghi nợ và thẻ tín dụng trong ngành tài chính.

Phần mềm độc hại này đặc biệt nhắm vào các tin nhắn thường từ chối giao dịch do không đủ tiền trong tài khoản của chủ thẻ. Nó sửa đổi các tin nhắn này, thay thế phản hồi 'từ chối' bằng phản hồi 'phê duyệt'.

Ngoài ra, các tin nhắn bị thay đổi cho phép rút tiền ngẫu nhiên từ 12.000 đến 30.000 Lira Thổ Nhĩ Kỳ (350 - 875 đô la). Sau khi tin nhắn bị thao túng được gửi trở lại hệ thống trung tâm của ngân hàng, bao gồm mã phê duyệt (DE38, DE39) và số tiền được ủy quyền (DE54), ngân hàng sẽ chấp thuận giao dịch. Một con la tiền làm việc thay mặt cho những kẻ tấn công sau đó sẽ rút tiền mặt từ máy ATM.

Kể từ khi phát hiện ra, biến thể Linux này được cho là có thể vượt qua hầu hết các công cụ bảo mật tiêu chuẩn, cho phép kẻ tấn công thực hiện các giao dịch gian lận mà không bị phát hiện. Các chuyên gia an ninh mạng cũng đã tìm thấy các dấu hiệu cho thấy tin tặc liên tục tinh chỉnh bộ công cụ của chúng, với bằng chứng là phiên bản Windows mới của FASTCash sẽ xuất hiện vào tháng 9 năm 2024.