Kuzey Koreli tehdit aktörlerinin, bilinen bir kötü amaçlı yazılım ailesinin Linux versiyonunu kullandıkları gözlemlendi. FASTNakit mali motivasyonlu bir kampanyanın parçası olarak para çalmak.
HaxRob’dan çalışan bir güvenlik araştırmacısı, kötü amaçlı yazılımın “ATM’lerden yetkisiz para çekilmesini kolaylaştırmak amacıyla kart işlemlerini gerçekleştiren, güvenliği ihlal edilmiş ağlardaki ödeme anahtarlarına yüklendiğini” söyledi.
FASTCash, ABD hükümeti tarafından ilk kez Ekim 2018’de, Kuzey Kore bağlantılı saldırganlar tarafından, en azından 2016’nın sonlarından bu yana Afrika ve Asya’daki bankaları hedef alan bir ATM para çekme planıyla bağlantılı olarak kullanıldığı belgelendi.
O dönemde kurumlar, “FASTCash programları, dolandırıcılık işlemlerini kolaylaştırmak için bankalar içindeki ödeme anahtarı uygulama sunucularını uzaktan tehlikeye atıyordu” dedi.
“2017’deki bir olayda, HIDDEN COBRA aktörleri 30’dan fazla farklı ülkedeki ATM’lerden eş zamanlı nakit çekilmesini sağladı. 2018’deki başka bir olayda ise HIDDEN COBRA aktörleri 23 farklı ülkedeki ATM’lerden eş zamanlı nakit çekilmesini sağladı.”
Önceki FASTCash yapıtlarında Microsoft Windows (geçen ay tespit edilen bir tanesi dahil) ve IBM AIX çalıştıran sistemler bulunurken, en son bulgular, Linux sistemlerine sızmak için tasarlanan örneklerin ilk olarak VirusTotal platformuna 2023 Haziran ortasında gönderildiğini gösteriyor.
Kötü amaçlı yazılım, Ubuntu Linux 20.04 için derlenen paylaşılan bir nesne (“libMyFc.so”) biçimini alıyor. Yetkisiz para çekme işlemlerini başlatmak amacıyla banka kartı ve kredi kartı işlemleri için kullanılan ISO 8583 işlem mesajlarını engellemek ve değiştirmek üzere tasarlanmıştır.
Spesifik olarak, kart sahibi hesap numaralarının önceden tanımlanmış bir listesi için yeterli bakiye olmaması nedeniyle reddedilen (manyetik kaydırma) işlem mesajlarının manipüle edilmesi ve bunların Türk Lirası cinsinden rastgele miktarda para çekilmesinin onaylanması gerekmektedir.
Dolandırıcılık işlemi başına çekilen fonlar 12.000 ila 30.000 Lira (350 ila 875 ABD Doları) arasında değişiyor ve bu, daha önce Eylül 2020’de ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından ayrıntılı olarak açıklanan Windows FASTCash eserini (“switch.dll”) yansıtıyor.
“[The] Linux versiyonunun keşfi, Linux sunucu ortamlarında sıklıkla bulunmayan yeterli algılama yeteneklerine olan ihtiyacı daha da vurguluyor” dedi araştırmacı.