Linux

北朝鮮のハッカーたちは、FASTCashマルウェアの新しいLinux亜種を使って金融機関の決済スイッチシステムに感染し、不正な現金引き出しを行っている。

FASTCashのこれまでの亜種は、WindowsとIBM AIX(Unix)システムを標的としていたが、セキュリティ研究者HaxRobによる新しいレポートにより、Ubuntu 22.04 LTSディストリビューションを標的とする、これまで検出されていなかったLinuxバージョンが明らかになった。

金銭窃取の歴史

CISAは2018年12月、FASTCash ATMキャッシュアウト・スキームについて初めて警告を発し、この活動は「Hidden Cobra」として知られる国家に支援された北朝鮮のハッキング・グループに起因するとした。

同庁の調査によると、脅威行為者は少なくとも2016年以降、FASTCashを利用した作戦を展開し、30カ国以上でのATM同時引き出し攻撃で1件あたり数千万ドルを盗んでいる。

2020年、米サイバー軍司令部は、復活したFASTCash 2.0の活動をAPT38(Lazarus)と関連付け、再びこの脅威を強調した。

その1年後、これらのスキームに関与したとされる3人の北朝鮮人に対する起訴が発表され、世界中の金融機関から13億ドル以上の窃盗に関与した。

Linuxから現金化

HaxRobによって発見された最新の亜種は、2023年6月に初めてVirusTotalに投稿され、以前のWindowsやAIXの亜種と操作上の類似点が広範囲に及んでいるのが特徴だ。

これは共有ライブラリの形で提供され、「ptrace」システムコールの助けを借りて、決済スイッチサーバー上の実行中のプロセスに注入され、ネットワーク機能にフックされます。

これらのスイッチは、ATM/PoS端末と銀行の中央システム間の通信を処理する仲介役であり、トランザクションのリクエストとレスポンスをルーティングする。

このマルウェアは、金融業界でデビットカードやクレジットカードの処理に使われているISO8583トランザクション・メッセージを傍受し、操作する。

具体的には、このマルウェアは、カード所有者の口座の資金不足による取引の拒否に関するメッセージを標的とし、”decline” レスポンスを “approve” に置き換えます。

FASTCash operational overview
FASTCashの操作概要
出典:doubleagent.net

操作されたメッセージには、要求された取引を承認するための12,000~30,000トルコリラ(350~875ドル)のランダムな金額も含まれている。

操作されたメッセージが承認コード(DE38、DE39)と金額(DE54)を含む銀行の中央システムに送り返されると、銀行は取引を承認し、ハッカーに代わって行動するマネーミュールがATMから現金を引き出す。

発見された時点で、FASTCashのLinux亜種はVirusTotalで検出されておらず、これはほとんどの標準的なセキュリティ・ツールを回避できることを意味し、脅威行為者が躊躇することなく取引を実行することを可能にしている。

HaxRobはまた、新しいWindowsバージョンが2024年9月にVTに提出されたことを報告し、ハッカーが彼らのツールセットのすべての部分を進化させるために積極的に取り組んでいることを示している。