Η επικίνδυνη εμφάνιση του Linux FASTCash: Η νέα απειλή στα ΑΤΜ

Βορειοκορεάτες χάκερ χρησιμοποιούν μια νέα παραλλαγή Linux του κακόβουλου λογισμικού FASTCash για να μολύνουν τα συστήματα μεταγωγής πληρωμών των χρηματοπιστωτικών ιδρυμάτων και να πραγματοποιούν μη εξουσιοδοτημένες αναλήψεις μετρητών.

Προηγούμενες παραλλαγές του FASTCash στόχευαν τα συστήματα Windows και IBM AIX (Unix), αλλά μια νέα έκθεση από τον ερευνητή ασφάλειας HaxRob αποκαλύπτει μια μη ανιχνευμένη στο παρελθόν έκδοση Linux που στοχεύει διανομές Ubuntu 22.04 LTS.

Ιστορία κλοπής χρημάτων

CISA πρώτα προειδοποίησε σχετικά με το πρόγραμμα εξαργύρωσης FASTCash ATM τον Δεκέμβριο του 2018, αποδίδοντας τη δραστηριότητα στην υποστηριζόμενη από το κράτος βορειοκορεατικό όμιλο χάκερ, γνωστό ως «Hidden Cobra».

Σύμφωνα με τις έρευνες της υπηρεσίας, οι παράγοντες απειλών χρησιμοποιούν το FASTCash σε επιχειρήσεις τουλάχιστον από το 2016, κλέβοντας δεκάδες εκατομμύρια δολάρια ανά περιστατικό σε ταυτόχρονες επιθέσεις ανάληψης ATM σε 30 ή περισσότερες χώρες.

Το 2020, η Διοίκηση Cyber ​​των ΗΠΑ τόνισε την απειλή για άλλη μια φορά, συνδέοντας την ανανεωμένη δραστηριότητα FASTCash 2.0 με το APT38 (Lazarus).

Ένα χρόνο αργότερα, ανακοινώθηκαν κατηγορίες για τρεις Βορειοκορεάτες που φέρεται να συμμετείχαν σε αυτά τα σχέδια, υπεύθυνοι για την κλοπή άνω του 1,3 δισεκατομμυρίου δολαρίων από χρηματοπιστωτικά ιδρύματα παγκοσμίως.

Εξαργύρωση από Linux

Η νεότερη παραλλαγή εντοπίστηκε από τον HaxRob υποβλήθηκε για πρώτη φορά στο VirusTotal τον Ιούνιο του 2023 και διαθέτει εκτεταμένες λειτουργικές ομοιότητες με προηγούμενες παραλλαγές Windows και AIX.

Έρχεται με τη μορφή μιας κοινόχρηστης βιβλιοθήκης που εισάγεται σε μια διαδικασία που εκτελείται σε έναν διακομιστή μεταγωγής πληρωμών με τη βοήθεια της κλήσης συστήματος «ptrace», συνδέοντάς την σε λειτουργίες δικτύου.

Αυτοί οι μεταγωγείς είναι μεσάζοντες που χειρίζονται την επικοινωνία μεταξύ των τερματικών ATM/PoS και των κεντρικών συστημάτων της τράπεζας, δρομολογώντας αιτήματα συναλλαγών και απαντήσεις.

Το κακόβουλο λογισμικό παρακολουθεί και χειρίζεται τα μηνύματα συναλλαγών ISO8583 που χρησιμοποιούνται στον χρηματοπιστωτικό κλάδο για την επεξεργασία χρεωστικών και πιστωτικών καρτών.

Συγκεκριμένα, το κακόβουλο λογισμικό στοχεύει μηνύματα που αφορούν απορρίψεις των συναλλαγών λόγω ανεπαρκών κεφαλαίων στον λογαριασμό του κατόχου της κάρτας και αντικαθιστά την απάντηση «απόρριψη» με «έγκριση».

Το παραποιημένο μήνυμα περιέχει επίσης ένα τυχαίο χρηματικό ποσό μεταξύ 12.000 και 30.000 τουρκικών λιρών (350 $ – 875 $) για την εξουσιοδότηση της ζητούμενης συναλλαγής.

Μόλις το παραποιημένο μήνυμα σταλεί πίσω στα κεντρικά συστήματα της τράπεζας που περιέχει τους κωδικούς έγκρισης (DE38, DE39) και το ποσό (DE54), η τράπεζα εγκρίνει τη συναλλαγή και ένα money mule που ενεργεί για λογαριασμό των χάκερ ανασύρει τα μετρητά από ένα ATM .

Από την ανακάλυψή της, η παραλλαγή Linux του FASTCash δεν είχε ανιχνεύσεις στο VirusTotal, πράγμα που σημαίνει ότι μπορούσε να αποφύγει τα περισσότερα τυπικά εργαλεία ασφαλείας, επιτρέποντας στους παράγοντες απειλής να εκτελούν συναλλαγές απτόητοι.

Το HaxRob αναφέρει επίσης ότι μια νέα έκδοση των Windows υποβλήθηκε στο VT τον Σεπτέμβριο του 2024, υποδεικνύοντας ότι οι χάκερ εργάζονται ενεργά για την εξέλιξη όλων των τμημάτων του συνόλου εργαλείων τους.