Νέα παραλλαγή του Fastcash στο Linux
Το Fastcash, ένα κακόβουλο λογισμικό που στοχεύει χρηματοπιστωτικά συστήματα πληρωμών, εξελίσσεται συνεχώς. Μια νέα παραλλαγή του, η οποία εντοπίστηκε σε συστήματα Linux, δίνει τη δυνατότητα στους εισβολείς να κάνουν παράνομες αναλήψεις μετρητών από από τα Μηχανήματα Αυτόματης Ανάληψης, χωρίς να απαιτείται έγκριση από τις τράπεζες.
Η νέα παραλλαγή του Fastcash δημιουργήθηκε για το Ubuntu 22.04, σύμφωνα με τον ερευνητή ασφάλειας που χρησιμοποιεί το ψευδώνυμο Haxrob. Το κακόβουλο λογισμικό εμφανίστηκε για πρώτη φορά στο VirusTotal τον Ιούνιο του 2023 και, σύμφωνα με τις αναλύσεις, έχει ομοιότητες με την προηγούμενη έκδοση που στόχευε Windows και συστήματα AIX της IBM.
Πίσω από την επίθεση
Το Fastcash είχε αποδοθεί το 2020 σε μια βορειοκορεατική ομάδα χάκερ που ονομάζεται Beagleboyz, μέλος της γνωστής ομάδας Hidden Cobra. Αυτή η ομάδα είναι επίσης πιθανό να έχει συνδέσεις με τους Lazarus (APT38), οι οποίοι έχουν κατηγορηθεί για πλήθος κυβερνοεπιθέσεων. Οι προηγούμενες εκδόσεις του Fastcash είχαν χρησιμοποιηθεί από το 2016.
Πως λειτουργεί το Fastcash
Το Fastcash στοχεύει ειδικούς διακόπτες που συνδέουν τα ΑΤΜ με τα κεντρικά συστήματα των τραπεζών. Το κακόβουλο λογισμικό επεμβαίνει στη διαδικασία διαχείρισης των μηνυμάτων συναλλαγών, τα οποία ακολουθούν το πρότυπο ISO 8583. Πρόκειται για το σύστημα που χρησιμοποιείται για την ανταλλαγή πληροφοριών πληρωμών με κάρτες μεταξύ τραπεζικών συστημάτων.
Συγκεκριμένα, το Fastcash χειρίζεται μηνύματα που αφορούν την απόρριψη συναλλαγών λόγω ανεπαρκών κεφαλαίων. Αντί οι συναλλαγές αυτές να απορρίπτονται, το κακόβουλο λογισμικό τις εγκρίνει, επιτρέποντας στους εισβολείς να κάνουν ανάληψη χρημάτων από τα ΑΤΜ.
Τεχνικές λεπτομέρειες της νέας παραλλαγής
Σύμφωνα με τον ερευνητή Haxrob, η παραλλαγή του Linux που ανακαλύφθηκε πρόσφατα, καθώς και οι εκδόσεις για Windows, είναι ρυθμισμένες να λειτουργούν με διαφορετικά νομίσματα. Οι εκδόσεις για Linux και Windows φαίνεται να χρησιμοποιούν τουρκική λίρα, ενώ η έκδοση για AIX είναι ρυθμισμένη να στοχεύει συναλλαγές σε ινδική ρουπία.
Οι εισβολείς συνεχίζουν να βελτιώνουν το κακόβουλο λογισμικό, με νέα έκδοση της παραλλαγής Windows να εντοπίζεται τον Σεπτέμβριο του 2024 στο VirusTotal. Αυτό δείχνει ότι το Fastcash παραμένει ενεργό και οι ομάδες πίσω από αυτό προσπαθούν να βρουν νέες μεθόδους επίθεσης.
Προστασία από το Fastcash
Για την προστασία των τραπεζών και των χρηματοπιστωτικών ιδρυμάτων από το Fastcash, είναι απαραίτητη η χρήση προηγμένων λύσεων κυβερνοασφάλειας και η ενσωμάτωση συστημάτων που εντοπίζουν ύποπτες δραστηριότητες σε πραγματικό χρόνο. Η επαγρύπνηση και η συνεργασία μεταξύ των τραπεζών και των παρόχων τεχνολογίας είναι κρίσιμη για την αποφυγή σοβαρών οικονομικών απωλειών.
Ενίσχυση της ασφάλειας στα ΑΤΜ
Οι οργανισμοί πρέπει να αναβαθμίσουν τα πρωτόκολλα επικοινωνίας τους με τα ΑΤΜ, ώστε να αποτρέψουν χειραγώγηση μηνυμάτων. Επιπλέον, οι χρηματοπιστωτικοί φορείς οφείλουν να εφαρμόζουν πολλαπλά επίπεδα ελέγχου για την έγκριση των συναλλαγών και να ενσωματώνουν συστήματα ειδοποίησης που ενημερώνουν για ύποπτες συναλλαγές.
Με την εξέλιξη του Fastcash, γίνεται εμφανές ότι οι επιθέσεις σε τραπεζικά συστήματα συνεχίζουν να αποτελούν σημαντική απειλή, καθιστώντας την επένδυση στην κυβερνοασφάλεια πιο επιτακτική από ποτέ.
