Вирус FASTCash атакует платежные коммутаторы на Linux для кражи денег из банкоматов

Хакеры из Северной Кореи были замечены в использовании Linux-версии известного семейства вредоносных программ под названием FASTCash для заражения ИТ-систем коммутации платежей финансовых учреждений и несанкционированного снятия наличных из банкоматов.

По словам исследователя безопасности под ником HaxRob, вредоносное ПО «устанавливается на платежных коммутаторах в скомпрометированных сетях, которые обрабатывают транзакции по картам, для упрощения несанкционированного снятия наличных в банкоматах».

Правительство США впервые задокументировало FASTCash в октябре 2018 года как средство, использовавшееся противниками, связанными с Северной Кореей, в рамках схемы обналичивания денег через банкоматы, нацеленной на банки в Африке и Азии, которая проводилась по крайней мере с конца 2016 года.

«Схемы FASTCash удаленно взламывают серверы приложений платежных коммутаторов в банках, чтобы облегчить проведение мошеннических транзакций», — отметили тогда агентства.

«В одном из инцидентов в 2017 году участники HIDDEN COBRA обеспечили одновременное снятие наличных в банкоматах, расположенных в более чем 30 разных странах. В другом инциденте в 2018 году участники хакерской группы HIDDEN COBRA обеспечили одновременное снятие наличных в банкоматах в 23 разных странах».

Хотя предыдущие следы FASTCash были обнаружены на системах под управлением Microsoft Windows и IBM AIX, последние результаты показывают, что образцы, предназначенные для проникновения в системы Linux, впервые были отправлены на платформу VirusTotal в середине июня 2023 года.

Вредоносная программа имеет форму общего объекта («libMyFc.so»), скомпилированного для Ubuntu Linux 20.04. Она предназначена для перехвата и изменения сообщений транзакций ISO 8583, используемых для обработки дебетовых и кредитных карт, с целью инициирования несанкционированного снятия средств.

В частности, это подразумевает манипулирование сообщениями об отклоненных транзакциях (с использованием магнитного считывателя) из-за недостатка средств на счетах держателей карт из заранее определенного списка и одобрение ими снятия случайной суммы средств в турецких лирах.

Сумма изъятых средств за одну мошенническую транзакцию составляет от 12 000 до 30 000 лир (от $350 до $875). «Появление варианта для Linux еще раз подчеркивает необходимость адекватных возможностей обнаружения, которых часто не хватает в серверных средах Linux», — сказал исследователь.