Cybersicherheitsexperten haben eine besorgniserregende Entwicklung entdeckt: Nordkoreanische Hacker setzen nun eine neue Linux-Variante der gefährlichen FASTCash-Malware ein, um Zahlungssysteme von Finanzinstituten zu kompromittieren und unbefugte Bargeldabhebungen an Geldautomaten durchzuführen. Diese Bedrohung stellt eine signifikante Eskalation der bereits bekannten FASTCash-Kampagne dar und erfordert erhöhte Wachsamkeit seitens der Finanzbranche.
Evolution der FASTCash-Malware: Von Windows zu Linux
Bislang zielten FASTCash-Varianten primär auf Windows- und IBM AIX-Systeme ab. Die jüngste Entdeckung einer Linux-Version, speziell für Ubuntu 22.04 LTS entwickelt, markiert jedoch einen beunruhigenden Wendepunkt. Diese Erweiterung des Malware-Arsenals ermöglicht es den Angreifern, ein breiteres Spektrum an Zahlungsinfrastrukturen zu infiltrieren und unterstreicht die kontinuierliche Weiterentwicklung ihrer Taktiken.
Historischer Kontext und globale Auswirkungen
Die FASTCash-Kampagne, erstmals 2018 von Sicherheitsforschern identifiziert, wird der nordkoreanischen Hackergruppe Hidden Cobra zugeschrieben. Seitdem hat sie erhebliche finanzielle Schäden verursacht:
- Seit 2016 wurden Geldautomaten in Asien und Afrika systematisch geplündert.
- 2017 erfolgte eine koordinierte Aktion in 30 Ländern.
- 2018 wurden Geldautomaten in weiteren 23 Ländern kompromittiert.
- Bis 2021 belief sich der geschätzte Gesamtschaden auf über 1,3 Milliarden US-Dollar.
Funktionsweise der neuen Linux-Variante
Die aktuelle Linux-Version von FASTCash, erstmals im Juni 2023 auf VirusTotal entdeckt, weist bemerkenswerte Ähnlichkeiten mit früheren Windows- und AIX-Varianten auf. Sie operiert als Shared Library und nutzt den ptrace-Systemaufruf, um sich in laufende Prozesse auf Zahlungsserver-Systemen einzuschleusen. Die Malware manipuliert gezielt ISO8583-Transaktionsnachrichten, die im Finanzsektor für die Verarbeitung von Debit- und Kreditkartentransaktionen verwendet werden.
Kernfunktionen der Malware:
- Abfangen von Transaktionsablehnungen aufgrund unzureichender Kontoguthaben
- Umwandlung von „Ablehnen“ in „Genehmigen“ Nachrichten
- Einfügen zufälliger Beträge zwischen 350 und 875 US-Dollar zur Autorisierung
- Manipulation der Genehmigungscodes (DE38, DE39) und Beträge (DE54)
Diese ausgeklügelte Vorgehensweise ermöglicht es den Angreifern, Bargeldabhebungen an kompromittierten Geldautomaten zu autorisieren, ohne dass die Banksysteme die Manipulation erkennen. Besonders beunruhigend ist die Tatsache, dass die Linux-Variante bei ihrer Entdeckung von gängigen Antivirenlösungen nicht erkannt wurde, was auf fortschrittliche Tarnungstechniken hindeutet.
Implikationen für die globale Cybersicherheit
Die Entdeckung der Linux-Variante von FASTCash unterstreicht die Notwendigkeit umfassender Sicherheitsmaßnahmen in der Finanzbranche. Finanzinstitute müssen ihre Abwehrstrategien überdenken und robuste Sicherheitsprotokolle implementieren, die plattformübergreifende Bedrohungen berücksichtigen. Kontinuierliches Monitoring, regelmäßige Sicherheitsaudits und die Implementierung von Anomalieerkennungssystemen sind entscheidend, um solche hochentwickelten Angriffe frühzeitig zu erkennen und abzuwehren.
Angesichts der stetigen Weiterentwicklung der FASTCash-Malware – einschließlich einer aktualisierten Windows-Version, die im September 2023 entdeckt wurde – ist es für Cybersicherheitsexperten und Finanzinstitute gleichermaßen von entscheidender Bedeutung, wachsam zu bleiben und ihre Abwehrmaßnahmen kontinuierlich zu verbessern. Nur durch eine proaktive und adaptive Herangehensweise können wir die Integrität globaler Finanzsysteme gegen diese hochentwickelten Cyberbedrohungen schützen.
