FASTCash Linux Malware

Nordkoreanische Bedrohungsakteure haben eine bislang unbekannte Linux-Variante der FASTCash-Malware entwickelt, die sie einsetzen, um die Zahlungstransfersysteme von Finanzinstituten zu kompromittieren und so illegale Bargeldabhebungen zu ermöglichen.

Frühere Versionen von FASTCash waren dafür bekannt, dass sie auf Windows- und IBM AIX-Systeme (Unix) abzielten. Einem aktuellen Bericht des Sicherheitsforschers HaxRob zufolge zielt eine neu entdeckte Linux-Variante nun jedoch auf Ubuntu 22.04 LTS-Distributionen ab. Dies ist die erste Entdeckung dieser Version.

Die FASTCash-Malware hat es seit Jahren auf Geldautomaten abgesehen

Im Dezember 2018 gab die CISA (Cybersecurity and Infrastructure Security Agency) ihre erste Warnung vor dem Geldautomaten-Abhebungssystem FASTCash heraus und schrieb die Aktivität der vom nordkoreanischen Staat gesponserten Hackergruppe „Hidden Cobra“ zu. Untersuchungen der Agentur ergaben, dass die Angreifer FASTCash seit mindestens 2016 nutzten und gleichzeitige Geldautomaten-Abhebungsangriffe in über 30 Ländern orchestrierten und dabei pro Vorgang zig Millionen Dollar stahlen.

Im Jahr 2020 schlug das US Cyber Command erneut Alarm und brachte die erneute Aktivität von FASTCash 2.0 mit APT38 (Lazarus) in Verbindung. Bis 2021 wurden Anklagen gegen drei Nordkoreaner erhoben, denen vorgeworfen wurde, weltweit mehr als 1,3 Milliarden Dollar von Finanzinstituten gestohlen zu haben.

Forscher entdecken eine neue Variante

Die neueste Variante von FASTCash, die im Juni 2023 entdeckt wurde, hat viele betriebliche Merkmale mit ihren Vorgängern gemeinsam, die auf Windows- und AIX-Systeme abzielen. Diese Version erscheint als gemeinsam genutzte Bibliothek, die in einen laufenden Prozess auf einem Zahlungsvermittlungsserver eingefügt wird und den Systemaufruf „ptrace“ verwendet, um sich in Netzwerkfunktionen einzuklinken.

Zahlungsschalter fungieren als Vermittler und erleichtern die Kommunikation zwischen Geldautomaten oder PoS-Terminals und den zentralen Systemen einer Bank, indem sie Transaktionsanfragen und -antworten weiterleiten. Die Malware nutzt diese Schalter aus, indem sie ISO8583-Transaktionsnachrichten abfängt und manipuliert, die für die Debit- und Kreditkartenverarbeitung in der Finanzbranche von entscheidender Bedeutung sind.

Die Malware zielt speziell auf Nachrichten ab, die normalerweise Transaktionen aufgrund unzureichender Deckung auf dem Konto eines Karteninhabers ablehnen würden. Sie modifiziert diese Nachrichten und ersetzt die Antwort „Ablehnen“ durch eine Antwort „Genehmigen“.

Darüber hinaus autorisieren die manipulierten Nachrichten eine zufällige Auszahlung in Höhe von 12.000 bis 30.000 türkischen Lira (350 bis 875 US-Dollar). Sobald die manipulierte Nachricht zusammen mit den Genehmigungscodes (DE38, DE39) und dem autorisierten Betrag (DE54) an die zentralen Systeme der Bank zurückgesendet wurde, genehmigt die Bank die Transaktion. Ein Geldkurier, der im Auftrag der Angreifer arbeitet, hebt dann das Geld an einem Geldautomaten ab.

Seit ihrer Entdeckung geht man davon aus, dass diese Linux-Variante die meisten Standard-Sicherheitstools umgeht und es Angreifern ermöglicht, betrügerische Transaktionen durchzuführen, ohne entdeckt zu werden. Cybersicherheitsexperten haben auch Anzeichen dafür gefunden, dass die Hacker ihren Werkzeugsatz kontinuierlich verfeinern. So gibt es Hinweise darauf, dass im September 2024 eine neue Windows-Version von FASTCash auf den Markt kommt.