Logiciel malveillant FASTCash pour Linux

Les acteurs de la menace nord-coréenne ont développé une variante Linux jusqu'alors inconnue du malware FASTCash, qu'ils déploient pour compromettre les systèmes de commutation de paiement des institutions financières, facilitant ainsi les retraits d'espèces illicites.

Les versions antérieures de FASTCash étaient connues pour cibler les systèmes Windows et IBM AIX (Unix). Cependant, selon un récent rapport du chercheur en sécurité HaxRob, une variante Linux récemment découverte cible désormais les distributions Ubuntu 22.04 LTS, marquant la première détection de cette version.

Le malware FASTCash cible les distributeurs automatiques de billets depuis des années

En décembre 2018, la CISA (Cybersecurity and Infrastructure Security Agency) a émis son premier avertissement concernant le système de retrait d'argent par les distributeurs automatiques FASTCash, attribuant cette activité au groupe de piratage parrainé par l'État nord-coréen appelé « Hidden Cobra ». Les enquêtes menées par l'agence ont révélé que les attaquants utilisaient FASTCash depuis au moins 2016, orchestrant des attaques simultanées de retrait par les distributeurs automatiques dans plus de 30 pays, volant des dizaines de millions de dollars par opération.

En 2020, le commandement américain de la cybersécurité a de nouveau tiré la sonnette d’alarme, en reliant l’activité renouvelée de FASTCash 2.0 à APT38 (Lazarus). En 2021, des inculpations ont été prononcées contre trois individus nord-coréens accusés d’avoir volé plus de 1,3 milliard de dollars à des institutions financières du monde entier.

Une nouvelle variante détectée par des chercheurs

La dernière variante de FASTCash, dévoilée en juin 2023, partage de nombreuses caractéristiques opérationnelles avec ses prédécesseurs ciblant les systèmes Windows et AIX. Cette version se présente comme une bibliothèque partagée qui est injectée dans un processus en cours d'exécution sur un serveur de commutation de paiement, en utilisant l'appel système « ptrace » pour se connecter aux fonctions réseau.

Les commutateurs de paiement agissent comme des intermédiaires, facilitant la communication entre les distributeurs automatiques de billets ou les terminaux de point de vente et les systèmes centraux d'une banque en acheminant les demandes et les réponses aux transactions. Le logiciel malveillant exploite ces commutateurs en interceptant et en manipulant les messages de transaction ISO8583, qui sont essentiels pour le traitement des cartes de débit et de crédit dans le secteur financier.

Le malware cible spécifiquement les messages qui refuseraient normalement les transactions en raison de fonds insuffisants sur le compte du titulaire de la carte. Il modifie ces messages en remplaçant la réponse « refus » par une réponse « approbation ».

De plus, les messages modifiés autorisent un retrait aléatoire d'un montant compris entre 12 000 et 30 000 livres turques (350 à 875 dollars). Une fois le message manipulé renvoyé aux systèmes centraux de la banque, y compris les codes d'approbation (DE38, DE39) et le montant autorisé (DE54), la banque approuve la transaction. Une mule travaillant pour le compte des attaquants retire ensuite l'argent d'un distributeur automatique.

Depuis sa découverte, cette variante de Linux est censée contourner la plupart des outils de sécurité standard, permettant aux attaquants d'effectuer des transactions frauduleuses sans se faire détecter. Les experts en cybersécurité ont également trouvé des signes suggérant que les pirates perfectionnent continuellement leur ensemble d'outils, avec des preuves de l'apparition d'une nouvelle version Windows de FASTCash en septembre 2024.