Bilgisayar korsanları çeşitli yasa dışı yöntemlerle ATM’leri giderek daha fazla hedef alıyor. Makineleri nakit dağıtmaya zorlamak için fiziksel ve yazılımsal açıklardan yararlanıyorlar.
Karanlık ağda erişilebilir hackleme araçlarının yükselişi, bu saldırıları yeni başlayan tehdit aktörleri için bile kolaylaştırdı.
DoubleAgent’tan HaxRob (@haxrob), yakın zamanda para çalmak için özellikle Linux işletim sistemi tabanlı ATM’leri hedef alan bir “ödeme anahtarı kötü amaçlı yazılımı” olan “FASTCash” adlı yeni bir Linux kötü amaçlı yazılım çeşidini ortaya çıkardı.
Araştırmacılar bu grubun Lazarus, Advanced Persistent Threat 38 (APT38), Bluenoroff ve Stardust Chollima gibi başka hack gruplarıyla bağlantılı olduğuna inanıyor.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide (PDF)
Teknik Analiz
“FASTCash”, finansal ağlardaki ödeme anahtarlarını tehlikeye atmak için tasarlanmış bir kötü amaçlı yazılımdır ve “Kuzey Koreli” tehdit aktörleriyle ilişkilendirilmektedir.
Bu kötü amaçlı yazılımın daha önce bilinen “IBM AIX” ve “Windows” sürümlerinin yanı sıra artık Linux sistemlerini de hedef aldığı belirtildi.
Ubuntu 20.04 için derlenen Linux örneği, önceden belirlenmiş hesap numaraları için özellikle reddedilen manyetik kaydırma işlemlerini (DE22’deki Hizmet Noktası Giriş Modu tarafından tanımlanır) hedefleyerek ISO8583 işlem mesajlarını keser.
Daha sonra bu işlemlere Türk Lirası (DE49 para birimi kodu TRY) cinsinden rastgele tutarlarla yetki verir.
Kötü amaçlı yazılım, “PIN ile ilgili alanların kaldırılması” (“DE52” ve “DE53”) dahil olmak üzere işlem verileri öğelerini manipüle eder ve bakiye sorguları için “100/110” ve “200” gibi “belirli mesaj Türü Göstergelerine” (“MTI’ler”) odaklanır. /210” finansal işlemler için.
Mesajların “2 bayt uzunluklu bir önek” ve “5 baytlık bir İşlem Protokolü Veri Birimi (TPDU) başlığı” içermesini bekliyor, bu da “belirli bir ödeme altyapısını” hedeflediğini gösteriyor.
Windows muadilinden biraz daha az “özellik açısından zengin” olmasına rağmen, bu Linux sürümü, tehdit aktörlerinin, özellikle mesaj bütünlüğü kontrollerinin atlanabileceği noktalarda, finansal ekosistemlerdeki çeşitli işletim sistemlerinde bulunan güvenlik açıklarından yararlanma konusunda gelişen taktiklerini göstermektedir.
CISA’nın Linux için FASTCASH kötü amaçlı yazılımına ilişkin raporu, ATM ağlarına yönelik karmaşık bir saldırıyı ortaya koyuyor. Bu kötü amaçlı yazılım, özellikle “yetkilendirme yanıtlarını” hedef alarak “ISO8583 finansal işlem mesajlarını” manipüle eder.
DE54 alanına (Ek tutarlar) “ISO4217 para birimi kodu 949” ve “DE48” alanına (Ek veriler, özel) ‘0387T’ özel değerini kullanarak bu mesajlara “sahte Türk Lirası tutarları” (12.000 – 30.000 TL) enjekte ediyor. .
Kötü amaçlı yazılım, manyetik şerit işlemlerini (DE22) ve “bakiye sorgulamaları” ve “para çekme işlemleri” için özel işlem kodlarını (DE3) kontrol eder.
Bir Windows sürümüyle benzerlikler paylaşıyor ancak “IP kontrolleri” gibi bazı özelliklerden yoksun.
Bu kötü amaçlı yazılım “C++” ile yazılmış ve “Ubuntu 22.04’te GCC 11.3.0” ile derlenmiştir. “Proses enjeksiyonu” için “ptrace”i ve “recv fonksiyonunu” engellemek için “subhook”u kullanır.
Kötü amaçlı yazılım, “AES128 CBC şifrelemesini” kullanarak “hedef PAN’lar” içeren bir yapılandırma dosyasının (‘/tmp/info.dat’) şifresini çözer.
“Oscar-ISO8583 kitaplığını” kullanarak “ISO8583 mesajlarını” ayrıştırarak “ağ paketlerini” yakalar ve ardından bunları “işlemleri onaylamak” ve “bakiyeleri artırmak” için değiştirir.
Uzlaşma Göstergeleri
SHA-256 karmaları
Linux için FASTCash
f34b532117b3431387f11e3d92dc9ff417ec5dcee38a0175d39e323e5fdb1d2c(UPX)
7f3d046b2c5d8c008164408a24cac7e820467ff0dd9764e1d6ac4e70623a1071
Windows için FastCash
afff4d4deb46a01716a4a3eb7f80da58e027075178b9aa438e12ea24eedea4b0f43d4e7e2ab1054d46e2a93ce37d03aff3a85e0dff2dd7677f4f7fb9abe1abc85232d942da0a86ff4a7ff29a9affbb5bd531a5393aa5b81b61fe3044c72c1c002611f784e3e7f4cf16240a112c74b5bcd1a04067eff722390f5560ae95d86361c3904f5e36d7f45d99276c53fed5e4dde849981c2619eaa4dbbac66a38181cbe609a5b9c98ec40f93567fbc298d4c3b2f9114808dfbe42eb4939f0c5d1d63d44078f284536420db1022475dc650327a6fd46ec0ac068fe07f2e2f925a924db49(RAR)
Daha önce tanımlanmış / atfedilmiş (2018 – 2020)
129b8825eaf61dcc2321aad7b84632233fa4bbc7e24bdf123b507157353930f0(Pencereler)10ac312c8dd02e417dd24d53c99525c29d74dcbc84730351ad7a4e0a4b1a0eba(AIX)3a5ba44f140821849de2d82d5a137c3bb5a736130dddb86b296d94e6b421594c(AIX)
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here