Эксперты по кибербезопасности обнаружили новую модификацию вредоносного ПО FASTCash, нацеленную на системы Linux. Этот инструмент, разработанный северокорейскими хакерами, используется для несанкционированного снятия наличных из банкоматов путем манипуляции системами коммутации платежей финансовых учреждений.
Эволюция FASTCash: от Windows к Linux
Ранее FASTCash был известен своими версиями для Windows и IBM AIX. Однако недавнее исследование, проведенное специалистом по безопасности HaxRob, выявило новый вариант вредоноса, специально разработанный для атак на системы под управлением Ubuntu 22.04 LTS. Это свидетельствует о расширении арсенала киберпреступников и их адаптации к различным операционным системам, используемым в финансовом секторе.
Механизм работы FASTCash
Новая версия FASTCash представляет собой разделяемую библиотеку, которая внедряется в работающий процесс на сервере с помощью системного вызова ptrace. Основная цель вредоноса — перехват и модификация транзакционных сообщений ISO8583, используемых для обработки операций с платежными картами.
Малварь специализируется на манипуляции с транзакциями, которые были отклонены из-за недостаточного баланса на счете. FASTCash изменяет ответ системы с «отклонить» на «одобрить» и добавляет случайную сумму в диапазоне от 350 до 875 долларов США для авторизации.
Техническая реализация атаки
Процесс атаки включает следующие этапы:
1. Внедрение вредоносного кода в системы коммутации платежей
2. Перехват сообщений о транзакциях
3. Модификация ответов на запросы о снятии наличных
4. Отправка поддельных одобрений в банковскую систему
5. Физическое снятие наличных через банкоматы сообщниками хакеров
История и масштабы угрозы FASTCash
FASTCash не является новой угрозой. Впервые о ней стало известно в 2018 году, когда специалисты связали эту активность с северокорейской хакерской группой Hidden Cobra. С 2016 года FASTCash использовался для атак на банкоматы в странах Азии и Африки. В 2017 году была зафиксирована масштабная операция, затронувшая одновременно 30 стран, а в 2018 году — еще 23 страны.
В 2020 году Киберкомандование США выпустило предупреждение о новой версии вредоноса — FASTCash 2.0, связав его с группировкой APT38 (также известной как Lazarus). Годом позже были выдвинуты обвинения против трех граждан Северной Кореи, предположительно причастных к хищению более 1,3 миллиарда долларов из финансовых организаций по всему миру.
Текущая ситуация и перспективы
Новейший Linux-вариант FASTCash был впервые обнаружен на платформе VirusTotal в июне 2023 года. Примечательно, что на момент появления он не детектировался антивирусными решениями, что позволяло хакерам действовать незаметно. Кроме того, в сентябре 2023 года была замечена обновленная версия FASTCash для Windows, что указывает на активное развитие этого вредоносного инструментария.
Появление Linux-версии FASTCash демонстрирует растущую изощренность северокорейских хакеров и их способность адаптироваться к различным технологическим средам. Это подчеркивает необходимость постоянного совершенствования систем защиты финансовых учреждений и повышения бдительности в отношении новых векторов атак. Организациям рекомендуется регулярно обновлять системы безопасности, проводить аудиты и внедрять многоуровневую защиту для противодействия подобным угрозам.
