أفاد تقرير حديث بأن مجموعة من القراصنة الكوريين الشماليين يستخدمون إصدارًا جديدًا من برمجية FASTCash الخبيثة، التي تستهدف أنظمة تشغيل **Linux** بهدف إصابة أنظمة تحويل المدفوعات في المؤسسات المالية وتنفيذ عمليات سحب أموال غير مشروعة.
كانت الإصدارات السابقة من برمجية FASTCash تستهدف أنظمة **Windows** و**IBM AIX** (Unix)، ولكن وفقًا لتقرير الباحث الأمني **HaxRob**، تم اكتشاف إصدار غير معروف من هذه البرمجية يستهدف توزيعات **Ubuntu 22.04 LTS**.
خلفية عن عمليات سرقة الأموال
حذرت وكالة الأمن السيبراني الأمريكية **CISA** لأول مرة من مخطط **FASTCash** لسحب الأموال من أجهزة الصراف الآلي في ديسمبر 2018، حيث تم نسب هذه الأنشطة إلى مجموعة **Hidden Cobra** الكورية الشمالية المدعومة من الدولة.
أوضحت التحقيقات أن المهاجمين استخدموا **FASTCash** منذ عام 2016 على الأقل، وتمكنوا من سرقة عشرات الملايين من الدولارات في هجمات متزامنة على أجهزة الصراف الآلي في أكثر من 30 دولة.
في عام 2020، أشارت القيادة الإلكترونية الأمريكية مرة أخرى إلى تهديد **FASTCash 2.0** وربطت هذه الأنشطة بمجموعة القرصنة **APT38** المعروفة أيضًا باسم **Lazarus**. وفي العام التالي، تم توجيه اتهامات لثلاثة كوريين شماليين متورطين في هذه العمليات، والتي شملت سرقة أكثر من 1.3 مليار دولار من المؤسسات المالية حول العالم.
استهداف أنظمة Linux لسحب الأموال
تم اكتشاف النسخة الجديدة من **FASTCash** بواسطة الباحث **HaxRob** في يونيو 2023 عبر منصة **VirusTotal**. هذه النسخة تشترك في العديد من الخصائص التشغيلية مع النسخ السابقة التي استهدفت أنظمة **Windows** و**AIX**.
تعمل البرمجية على شكل مكتبة مشتركة يتم حقنها في عملية تعمل على خادم تحويل المدفوعات باستخدام نداء **ptrace**، مما يسمح لها بالتلاعب بوظائف الشبكة.
تستهدف هذه البرمجية الخبيثة أنظمة التحويل التي تربط أجهزة الصراف الآلي ومحطات نقاط البيع مع الأنظمة المركزية للبنوك، حيث تتعامل مع طلبات المعاملات المالية والاستجابة لها. وتقوم البرمجية باعتراض وتعديل الرسائل المالية المستخدمة في معالجة البطاقات الائتمانية والخصم، وخاصة الرسائل المتعلقة برفض المعاملات بسبب عدم كفاية الرصيد في حسابات العملاء.
كيفية التلاعب بالمعاملات
تقوم البرمجية باستبدال رد الرفض بـ”الموافقة”، كما تضيف رسالة تحتوي على مبلغ عشوائي يتراوح بين **12,000 و30,000 ليرة تركية** (ما يعادل **350 – 875 دولارًا**)، مما يسمح بتنفيذ المعاملة دون اعتراض من أنظمة البنوك.
بعد ذلك، ترسل البرمجية الرسالة المعدلة إلى الأنظمة المركزية للبنك متضمنةً رموز الموافقة اللازمة والمبلغ المطلوب، مما يتيح لشريك القراصنة سحب الأموال من جهاز الصراف الآلي.
تطوير البرمجية وزيادة تهديدها
حتى لحظة اكتشاف النسخة الخاصة بـ Linux ، لم يتم اكتشافها على VirusTotal ، مما يشير إلى قدرتها على تجنب أدوات الأمان القياسية. وقد ذكر **HaxRob** أن إصدارًا جديدًا من البرمجية الخاصة بنظام Windows تم إرساله أيضًا إلى VirusTotal في سبتمبر 2024، مما يعني أن المهاجمين ما زالوا يعملون على تطوير أدواتهم باستمرار.
