FASTCash: как отклонённые транзакции превращаются в реальные деньги
Уязвимость в платёжных шлюзах на Linux делает банкоматы лёгкой добычей.
Исследователи с ресурса doubleagent в последние месяцы фиксируют активность новой версии вредоносного программного обеспечения FASTCash. Она направлена на операционные системы Linux и связана с хакерскими группировками из Северной Кореи.
Вредонос нацелен на взлом финансовых сетей для незаконного снятия денег с банкоматов. FASTCash перехватывает и изменяет данные транзакций, обрабатываемых на платёжных шлюзах, что позволяет одобрять ложные запросы на снятие средств.
Ранее известные версии FASTCash поражали системы на базе IBM AIX и Windows. Однако новая Linux-вариация, как выяснили исследователи, предназначена для работы на Ubuntu 20.04. Вредоносная программа может перехватывать сообщения об отказанных транзакциях и одобрять их, добавляя случайные суммы на карту в турецких лирах.
Исследования показали, что Linux-вариант имеет схожие механизмы работы с предыдущими версиями для Windows, но с некоторыми отличиями. Основное назначение программы — манипуляция сообщениями ISO8583, которые используются для обработки транзакций. Как и Windows-вариант, она работает с валютой Турции и использует уникальные поля для фальсификации данных транзакций.
Примечательно, что вредоносное ПО использует уязвимости в платёжных шлюзах, где отсутствуют механизмы проверки целостности сообщений. Это позволяет FASTCash вносить изменения, оставаясь незамеченным. Вредоносная программа создаёт ложные одобренные ответы на запросы о недостаточных средствах, подставляя произвольные суммы.
Исследователи также отметили, что в коде Linux-версии есть признаки использования виртуальной машины VMware для разработки. Вредоносная программа может быть внедрена в работающий процесс с помощью системного вызова ptrace, что делает её трудной для обнаружения без соответствующих настроек систем защиты на серверах Linux.
Хотя Linux-вариант имеет ограниченные возможности по сравнению с версией для Windows, он всё же представляет серьёзную угрозу для финансовых учреждений. Основная цель — подделка данных о транзакциях на устройствах, таких как банкоматы и POS-терминалы, что позволяет злоумышленникам получать крупные суммы незаконно.
Чтобы предотвратить подобные атаки, эксперты советуют усилить проверку подлинности сообщений и использовать более надёжные методы защиты, такие как чип и PIN для дебетовых карт, а также криптографическую проверку ответов на запросы.