Kuzey Koreli tehdit aktörleri, mali amaçlı bir siber kampanya yürütmek için “FASTCash” olarak bilinen kötü amaçlı yazılım ailesinden bir Linux varyantı kullanıyor.
FASTCash bir ödeme anahtarı kötü amaçlı yazılımıdır. ABD hükümeti tarafından ilk olarak Ekim 2018’de belgelendi Kuzey Koreli rakipler tarafından Afrika ve Asya’daki bankaları hedef alan bir ATM planında kullanıldığında.
O tarihten bu yana kampanyada iki önemli gelişme yaşandı. Bunlardan ilki, switch uygulamalarını Windows Server’da barındıran bankalara karşı bu planı yürütme yeteneği, ikincisi ise kampanyanın bankalar arası ödeme işlemcilerini hedef alacak şekilde genişletilmesi.
Kötü amaçlı yazılımın önceki sürümleri, Microsoft Windows ve IBM AIX çalıştıran sistemleri hedef alıyordu, ancak kötü amaçlı yazılımın en son bulguları artık onun Linux sistemlerine sızmak için tasarlandığını gösteriyor.
Kötü amaçlı yazılım, banka ve kredi kartı işlemlerinde kullanılan ISO 8583 işlem mesajlarını değiştirerek yetkisiz para çekme işlemlerini başlatıyor, hatta yetersiz bakiye nedeniyle reddedilen işlemleri manipüle etmeyi başarıyor ve ardından 12.000 ila 30.000 lira (350 ila 875 ABD Doları) arasında Türk para birimi cinsinden para çekmeyi onaylıyor. .
“İşlem mesajlarına müdahale etmek için kullanılan süreç enjeksiyon tekniği, herhangi bir ticari kuruluş tarafından işaretlenmelidir. [endpoint detection and response] veya ptrace sistem çağrısının kullanımını tespit etmek için uygun konfigürasyona sahip açık kaynaklı Linux aracısı” Raporda araştırmacılara dikkat çekildi.
Araştırmacılar ayrıca, Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) banka kartları için çip ve PIN gereksinimlerinin uygulanması, finansal talep yanıt mesajlarında mesaj kimlik doğrulama kodlarının zorunlu kılınması ve doğrulanması ve kötüye kullanımı önlemek amacıyla çip ve PIN işlemleri için yetkilendirme yanıtı kriptogram doğrulamasının gerçekleştirilmesi yönündeki önerilerini vurguluyor. denemeler.