FASTCash prazni bankomate

Sigurnosni istraživač pod nazivom HaxRob je otkrio novu varijantu zloglasnog Windows FASTCash zlonamjernog softvera na Linux serverima, koji je povezan sa lažnim novčanim transakcijama. Ova nova varijanta zlonamjernog softvera se koristi u finansijski motivisanoj kampanji, koju su organizovali sjevernokorejski zlonamjerni akteri Lazarus grupa i predstavlja značajan rizik za banke i finansijske institucije širom sveta.

FASTCash

FASTCash prazni bankomate; Source: Bing Image Creator

FASTCASH ZLONAMJERNI SOFTVER

Prvi put dokumentovan od strane američkih vlasti u oktobru 2018. godine, FASTCash je povezan sa zlonamjernim akterima u Sjevernoj Koreji najmanje od kraja 2016. godine. Zlonamjerni softver je instaliran na uređajima za plaćanje unutar ugroženih mreža koje upravljaju transakcijama karticama, omogućavajući neovlašteno podizanje gotovine sa bankomata širom sveta. FASTCash zlonamjerni softver je identifikovan na više platformi, uključujući Windows, AIX i nedavno Linux.

 

Funkcionisanje

Serveri za prebacivanje plaćanja su ključni posrednici u komunikacionoj mreži između bankomata/PoS terminala i centralnih sistema banaka, olakšavajući usmjeravanje zahteva za transakcije i odgovora. FASTCash Linux varijanta zlonamjernog softvera posebno cilja ove servere koji rade na Ubuntu 22.04 LTS instalacijama da manipuliše finansijskim transakcijama.

Zlonamjerni softver se prvenstveno fokusira na presretanje poruka o odbijenim transakcijama (magnetnim prevlačenjem) za unaprijed definisanu listu brojeva računa vlasnika kartice zbog nedovoljnih sredstava na njihovim računima. Nakon otkrivanja, modifikuje poruku o transakciji tako što odobrava transakciju nasumičnim iznosom novca između 12.000 i 30.000 turskih lira ($350 – $875).

Kada se izmanipulisana poruka vrati u centralne sisteme banke koja sadrži kôdove odobrenja (DE38, DE39) i iznos (DE54), banka odobrava transakciju. Akter u ulozi mule koji djeluje u ime zlonamjernog aktera tada podiže gotovinu sa bankomata. Ovaj proces omogućava zlonamjernim akterima da obavljaju neovlaštene transakcije na bankomatima i PoS terminalima bez izazivanja trenutne sumnje.

 

Karakteristike

Nova Linux varijanta pokazuje sličnosti sa prethodnim Windows i AIX varijantama, ali ima malo smanjenu funkcionalnost u poređenju sa prethodnikom. Iako zadržava ključnu funkcionalnost u presretnju odbijenih transakcija za unaprijed definisanu listu brojeva računa vlasnika kartica, autorizuje transakciju nasumičnim iznosima u turskim lirama i manipuliše ISO8583 porukama, pokazuje manje mogućnosti od Windows varijante.

Jedan značajan aspekt FASTCash zlonamjernog softvera je njegova sposobnost da izbjegne tradicionalne bezbjednosne alate. Linux varijanta je prvi put poslata na VirusTotal platformu u junu 2023. godine bez ikakvih otkrivanja, što je omogućavalo zlonamjernim akterima da zaobiđu finansijske mjere zaštite i neotkriveno izvrše isplate. Ovo naglašava potrebu za snažnim mjerama sajber bezbjednosti koje mogu efikasno otkriti i ublažiti ovakve prijetnje.

Windows varijanta je ažurirana u septembru 2024. godine, što ukazuje na stalne napore zlonamjernih aktera da razviju svoj zlonamjerni softver. Globalne implikacije FASTCash operacija su značajne, jer sjevernokorejski zlonamjerni akteri pokazuju svoju sposobnost da kompromituju čak i Linux sisteme. Uz procjenu štete od 1,3 milijarde američkih dolara u vezi sa njihovim aktivnostima, najnoviji eksploati naglašavaju potrebu za snažnim mjerama sajber bezbjednosti na svim platformama.

 

Zašto Linux?

Prelazak Lazarus grupe na ciljanje Linux sistema mogao bi biti motivisan nekoliko faktora. Prvo, mnoge banke koriste Linux operativne sisteme za svoju pozadinsku obradu zbog njegove fleksibilnosti i prirode otvorenog kôda. Ovo pruža zlonamjernim akterima više mogućnosti da iskoriste ove sisteme, posebno ako na snazi nisu implementirane odgovarajuće mjere bezbjednosti. Pored toga, Linux serveri se ponekad smatraju manje ranjivim na napade, što može dovesti do lažnog osjećaja sigurnosti među administratorima.

Ipak, ova percepcija se brzo mijenja kako se prijetnje poput FASTCash zlonamjernog softvera razvijaju. Upotreba sofisticiranog zlonamjernog softvera na Linux operativnom istemu pokazuje da nijedan operativni sistem nije imun na sajber napade. Ovo dodatno naglašava potrebu za stalnim oprezom, redovnim sigurnosnim revizijama i implementaciji novih mogućnostima otkrivanja.

 

Lazarus Grupa

Lazarus grupa poznata još kao APT38 je napredna trajna prijetnja (eng. Advanced persistent threat – APT) koju sponzoriše sjevernokorejska država i povezana je sa Generalnim biroom za izviđanje Sjeverne Koreje (RGB). Ova zlonamjerna grupa je izvršila značajan uticaj na globalnu sajber bezbjednost, vršeći visokoprofilne finansijske sajber napade i baveći se sajber špijunažom. Njihove operacije često uključuju primjenu sofisticiranog zlonamjernog softvera, čija analiza pruža vrijedne podatke o prijetnjama za zajednicu sajber bezbjednosti.

Aktivnosti grupe su u skladu sa političkim interesima Sjeverne Koreje, a ciljane su na različite zemlje uključujući Južnu Koreju, SAD i mnoge druge. Njihove taktike uključuju ciljano pecanje (eng. spear phishing), napade vodenih rupa (eng. watering hole attack) i iskorištavanje ranjivosti nultog dana (eng. zero day). Takođe je poznato da onemogućavaju protokole za praćenje u operativnim sistemima žrtava kako bi izbjegli otkrivanje. Uprkos njihovim naporima da ostanu skriveni, njihove aktivnosti su opširno dokumentovane kroz analizu zlonamjernog softvera i obavještajne podatke o prijetnjama, što je doprinijelo razumijevanju njihovih metoda i ciljeva.

Vjeruje se da Lazarus grupa ima dvije jedinice. One uključuju BlueNorOff i AndAriel. BlueNorOff ima oko 1.700 članova fokusiranih na vršenje finansijskog sajber kriminala. Oni ciljaju banke i odnedavno, berze kriptovaluta ciljajući preko 16 organizacija u preko 13 zemalja. Njihova ukradena sredstva koriste se za podršku raketnoj i nuklearnoj tehnologiji. Jedinica AndAriel obično cilja na organizacije i finansijske institucije u Južnoj Koreji. Pored toga, AndAriel ima oko 1.600 članova koji obavljaju izviđačke poslove i analiziraju neprijateljsku infrastrukturu za potencijalni napad kasnije.

U ovom slučaju, Lazarus grupa je proširila svoje mogućnosti tako što je razvila i primijenila Linux varijantu FASTCash zlonamjernog softvera, koji im omogućava da se infiltriraju u sisteme za prebacivanje plaćanja za neovlašteno podizanje novca sa bankomata na međunarodnom nivou.

 

ZAKLJUČAK

Kako se svet sve više oslanja na digitalne sisteme plaćanja, razumijevanje i rješavanje prijetnji kao što je FASTCash je ključno za održavanje finansijske sigurnosti. Tekuća evolucija ovog zlonamjernog softvera služi kao dobar podsjetnik da zlonamjerni akteri stalno prilagođavaju svoje taktike da bi iskoristili ranjivosti u međusobno povezanim mrežama.

Globalne finansijske implikacije FASTCash operacija su ozbiljne, posebno pošto sjevernokorejski zlonamjerni akteri pokazuju svoju sposobnost da kompromituju čak i Linux sisteme. Sa štetama vezanim za njihove aktivnosti procjenjene na 1,3 milijarde američkih dolara, najnoviji zlonamjerni alat zlonamjernih aktera iza naziva Lazarus grupa naglašavaju potrebu za snažnim mjerama sajber bezbjednosti na svim platformama.

Od suštinskog je značaja za institucije i pojedince da ostanu na oprezu, redovno ažuriraju svoje sisteme i ulažu u snažne mjere sajber bezbjednosti kako bi se zaštitili od takvih prijetnji.

 

ZAŠTITA

Kako bi se zaštitili od prijetnje koju predstavlja Linux varijanta FASTCash zlonamjernog softvera, ključno je primijeniti višeslojni bezbjednosni pristup koji se bavi i mrežnim i sistemskim nivoima. Evo nekoliko preporuka:

  1. Poboljšati mogućnosti otkrivanja, jer izvještaji naglašavaju potrebu za adekvatnim mogućnostima detekcije u okruženjima Linux Ovo se može postići primjenom komercijalnih softvera za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) ili Linux agenata otvorenog kôda sa odgovarajućim konfiguracijama za otkrivanje upotrebe sistemskog poziva, koji koristi FASTCash zlonamjerni softver za presretanje poruka o transakcijama,
  2. Preporuke Agencije za sajber bezbjednost i bezbjednost infrastrukture (eng. Cybersecurity and Infrastructure Security Agency – CISA) predlažu primjenu zahteva za čip i PIN za debitne kartice. Ova mjera dodaje još jedan sloj bezbjednosti, jer otežava zlonamjernim akterima da koriste ukradene podatke sa kartice bez fizičke kartice. Pored toga, zahtevanje i provjera kôdova za potvrdu autentičnosti poruka u porukama odgovora na finansijski zahtev izdavaoca može pomoći da se osigura da su transakcije legitimne,
  3. Za transakcije sa čipom i PIN-om, potrebno je izvršiti validaciju kriptograma odgovora na autorizaciju da bi se provjerio integritet podataka transakcije i spriječio neovlašteni pristup. Ova mjera pomaže u otkrivanju bilo kakvog manipulisanja ili manipulacije porukama o transakcijama od strane FASTCash zlonamjernog softvera,
  4. Sprovesti segmentaciju mreže da bi se izolovali kritični sisteme kao što su uređaji za plaćanje od drugih dijelova mreže. U slučaju da je sistem kompromitovan, ova strategija može ograničiti širenje zlonamjernog softvera i spriječiti da utiče na druge sisteme unutar mreže,
  5. Održavati sve sisteme ažurnim sa najnovijim bezbjednosnim ispravkama da bi se zaštitili od poznatih ranjivosti koje bi mogao da iskoristi FASTCash ili sličan zlonamjerni softver. Redovno ažuriranje antivirusnog softvera je takođe neophodno za otkrivanje i uklanjanje potencijalnih prijetnji,
  6. Edukacija korisnika o uobičajenim taktikama društvenog inženjeringa koje koriste zlonamjerni akteri, kao što su elektronske poruke za krađu identiteta (eng. phishing) ili sumnjive veze. Ohrabriti korisnike da odmah prijave sve sumnjive incidente IT odjeljenju radi istrage,
  7. Potrebno je imati dobro definisan Plan odgovora na sajber prijetnju koji navodi korake koje treba preduzeti kada se otkrije upad. Ovo uključuje identifikaciju izvora ugrožavanja, zadržavanje i iskorjenjivanje prijetnje, oporavak od napada i učenje lekcija za buduće napore prevencije,
  8. Redovno praćenje mrežnog saobraćaja i sistemskih evidencija može omogućiti identifikaciju neuobičajenih ili sumnjivih aktivnost koje mogu ukazivati na potencijalnu kompromitaciju od FASTCash zlonamjernog softvera ili sličnih prijetnji. Ovaj proaktivni pristup može pomoći u ranom otkrivanju napada i smanjenju njihovog uticaja na organizaciju.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.