Hakeri sve više ciljaju bankomate raznim nedozvoljenim metodama. Oni iskorištavaju fizičke i softverske ranjivosti kako bi prisilili mašine da izdaju gotovinu.
Porast dostupnih hakerskih alata na mračnom webu je olakšao ove napade čak i početnicima u prijetnjama.
HaxRob (@haxrob) iz DoubleAgent-a je nedavno otkrio novu varijantu malicioznog softvera za Linux pod nazivom “FASTCash”, “malware za prebacivanje plaćanja” koji posebno cilja bankomate zasnovane na Linux OS-u za krađu novca.
Istraživači veruju da je ova grupa povezana sa nekoliko drugih hakerskih grupa, kao što su Lazarus , Advanced Persistent Threat 38 (APT38), Bluenoroff i Stardust Chollima.
Tehnička analiza
“FASTCash” je maliciozni softver dizajniran da narušava prekidače plaćanja u finansijskim mrežama, a pripisuje se “sjevernokorejskim” prijetnjama.
Primijećeno je da ovaj maliciozni softver sada cilja na Linux sisteme uz ranije poznate verzije za “IBM AIX” i “Windows”.
Uzorak Linuxa, sastavljen za Ubuntu 20.04, presreće poruke o transakcijama ISO8583, posebno ciljajući odbijene transakcije magnetnog prevlačenja (identifikovane načinom unosa tačke usluge u DE22) za unaprijed određene brojeve računa.
Zatim odobrava ove transakcije nasumičnim iznosima u turskim lirama (šifra valute TRY u DE49).
Maliciozni softver manipuliše elementima podataka o transakcijama uključujući „uklanjanje polja vezanih za PIN“ („DE52“ i „DE53“) i „fokusira se na specifične indikatore vrste poruke“ („MTIs“) poput „100/110“ za upite o stanju i „200 /210” za finansijske transakcije.
Očekuje se da poruke uključuju “prefiks dužine od 2 bajta” i “zaglavlje jedinice podataka transakcijskog protokola (TPDU) od 5 bajta”, što sugeriše da cilja na “specifičnu infrastrukturu plaćanja”.
Iako je nešto manje “bogat funkcijama” od svog Windows kolege, ova Linux varijanta ilustruje evoluirajuću taktiku hakera u iskorištavanju ranjivosti u različitim OS-ima unutar financijskih ekosistema, posebno na mjestima gdje se provjere integriteta poruka mogu zaobići.
CISA-in izvještaj o FASTCASH malveru za Linux otkriva sofisticirani napad na mreže bankomata. Ovaj maliciozni softver manipuliše “porukama o finansijskim transakcijama ISO8583”, posebno ciljajući “odgovore za autorizaciju”.
U ove poruke ubacuje “lažne iznose turskih lira” (12.000 do 30.000 TRY), koristeći “ISO4217 šifru valute 949” u polju DE54 (dodatni iznosi) i prilagođenu vrijednost “0387T” u “DE48” (dodatni podaci, privatni) .
Maliciozni softver provjerava transakcije magnetnom trakom (DE22) i specifične kodove za obradu (DE3) za „upite o stanju“ i „povlačenje“.
Ima sličnosti sa varijantom Windows-a, ali mu nedostaju neke funkcije kao što su „IP provjere“.
Ovaj maliciozni softver je napisan na “C++” i kompajliran sa “GCC 11.3.0 na Ubuntu 22.04.” Koristi “ptrace” za “injekciju procesa” i “subhook” za presretanje “recv funkcije”.
Maliciozni softver dešifrira konfiguracijsku datoteku (‘/tmp/info.dat’) koja sadrži “ciljne PAN-ove” koristeći “AES128 CBC enkripciju.”
Presreće “mrežne pakete” raščlanjivanjem “ISO8583 poruka” koristeći “Oscar-ISO8583 biblioteku”, a zatim ih modifikuje da “odobrava transakcije” i “povećava stanje”.
Izvor: CyberSecurityNews