朝鲜黑客开发了一种新的 Linux 变体的 FASTCash 恶意软件,专门针对金融机构的支付交换系统进行未经授权的现金提取。此前,FASTCash 恶意软件主要针对 Windows 和 IBM AIX 系统,但安全研究员 HaxRob 发现了一个专门用于渗透 Ubuntu 22.04 LTS 发行版的新版本。
FASTCash ATM 提现计划最早在 2018 年 12 月被 CISA 警告,该计划被归咎于朝鲜黑客组织“Hidden Cobra”,并至少自 2016 年以来一直在使用。该组织在超过 30 个国家同步实施 ATM 取款攻击,每次事件窃取数千万美元。2020 年,美国网络司令部再次强调该计划,并将新的 FASTCash 2.0 活动与 APT38(Lazarus)联系起来。到 2021 年,美国宣布对三名朝鲜人提起诉讼,他们涉嫌从全球金融机构盗窃超过 13 亿美元。
新发现的 Linux 变体首次于 2023 年 6 月提交给 VirusTotal,在操作上与 Windows 和 AIX 版本相似。它通过“ptrace”系统调用将自身注入支付交换服务器上正在运行的进程,并挂接到网络功能来运行。这些支付交换机管理 ATM/PoS 终端和中央银行系统之间的通信,处理交易请求和响应。恶意软件通过操控 ISO8583 交易消息,特别是与交易拒绝相关的消息,来实现未经授权的提款。来源