
Les pirates nord-coréens utilisent une nouvelle variante Linux du malware FASTCash pour infecter les systèmes de commutation de paiement des institutions financières et effectuer des retraits d’espèces non autorisés.
Les variantes précédentes de FASTCash ciblaient les systèmes Windows et IBM AIX (Unix), mais un nouveau rapport du chercheur en sécurité HaxRob révèle une version Linux non détectée auparavant qui cible les distributions Ubuntu 22.04 LTS.
Histoire de vol d’argent
CISA a d’abord mis en garde contre le système d’encaissement FASTCash ATM en décembre 2018, attribuant l’activité au groupe de piratage nord-coréen soutenu par l’État connu sous le nom de « Cobra caché ».’
Selon les enquêtes de l’agence, les acteurs de la menace utilisent FASTCash dans leurs opérations depuis au moins 2016, volant des dizaines de millions de dollars par incident lors d’attaques simultanées de retrait de guichets automatiques dans 30 pays ou plus.
En 2020, le Cyber Command américain a de nouveau mis en évidence la menace, reliant l’activité FASTCash 2.0 relancée à APT38 (Lazarus).
Un an plus tard, des inculpations ont été annoncées pour trois Nord-Coréens prétendument impliqués dans ces stratagèmes, responsables du vol de plus de 1,3 milliard de dollars à des instituts financiers du monde entier.
Encaisser depuis Linux
La dernière variante repérée par HaxRob a été soumise pour la première fois à VirusTotal en juin 2023 et présente de nombreuses similitudes opérationnelles avec les variantes Windows et AIX précédentes.
Il se présente sous la forme d’une bibliothèque partagée qui est injectée dans un processus en cours d’exécution sur un serveur de commutateur de paiement à l’aide de l’appel système ‘ptrace’, l’accrochant aux fonctions réseau.
Ces commutateurs sont des intermédiaires gérant la communication entre les guichets automatiques/terminaux de point de vente et les systèmes centraux de la banque, acheminant les demandes de transaction et les réponses.
Le logiciel malveillant intercepte et manipule les messages de transaction ISO8583 utilisés dans le secteur financier pour le traitement des cartes de débit et de crédit.
Plus précisément, le logiciel malveillant cible les messages concernant les refus des transactions en raison de fonds insuffisants sur le compte du titulaire de la carte et remplace la réponse « refuser » par « approuver ». »

Le message manipulé contient également une somme d’argent aléatoire comprise entre 12 000 et 30 000 livres turques (350 – – 875$) pour autoriser la transaction demandée.
Une fois le message manipulé renvoyé aux systèmes centraux de la banque contenant les codes d’approbation (DE38, DE39) et le montant (DE54), la banque approuve la transaction et une mule agissant au nom des pirates retire l’argent d’un guichet automatique.
Au moment de sa découverte, la variante Linux de FASTCash n’avait aucune détection sur VirusTotal, ce qui signifie qu’elle pouvait échapper à la plupart des outils de sécurité standard, permettant aux auteurs de menaces d’effectuer des transactions sans se décourager.
HaxRob rapporte également qu’une nouvelle version de Windows a été soumise sur VT en septembre 2024, indiquant que les pirates travaillent activement à faire évoluer toutes les pièces de leur ensemble d’outils.