Los piratas informáticos norcoreanos utilizan malware de Linux recién descubierto para atacar cajeros automáticos



El malware reside en la parte del espacio de usuario del conmutador interbancario que conecta el dominio emisor y el dominio adquirente. Cuando una tarjeta comprometida se utiliza para realizar una traducción fraudulenta, FASTCash altera los mensajes que el conmutador recibe de los emisores antes de transmitirlos al banco mercantil. Como resultado, los mensajes del emisor que niegan la transacción se cambian a aprobaciones.

El siguiente diagrama ilustra cómo funciona FASTCash:

Los conmutadores elegidos para la orientación ejecutan implementaciones mal configuradas de ISO 8583un estándar de mensajería para transacciones financieras. Las configuraciones erróneas impiden que funcionen los mecanismos de autenticación de mensajes, como los utilizados por el campo 64 como se define en la especificación. Como resultado, los mensajes manipulados creados por FASTCash no se detectan como fraudulentos.

“El malware FASTCash se dirige a sistemas que envían mensajes ISO8583 en un host intermedio específico donde faltan mecanismos de seguridad que garanticen la integridad de los mensajes y, por lo tanto, pueden ser manipulados”, escribió haxrob. “Si los mensajes estuvieran protegidos por su integridad, un campo como DE64 probablemente incluiría un MAC (código de autenticación de mensajes). Como el estándar no define el algoritmo, el algoritmo MAC es específico de la implementación”.

El investigador continuó explicando:

El malware FASTCash modifica los mensajes de transacciones en un punto de la red donde la manipulación no provocará que los sistemas ascendentes o descendentes rechacen el mensaje. Una posición factible de interceptación sería donde los mensajes ATM/PoS se convierten de un formato a otro (por ejemplo, la interfaz entre un protocolo propietario y alguna otra forma de mensaje ISO8583) o cuando se realiza alguna otra modificación al mensaje mediante un proceso que se ejecuta en el conmutador.

CISA dijo que BeagleBoyz, uno de los nombres con los que se rastrea a los piratas informáticos norcoreanos, es un subconjunto de HiddenCobra, un grupo paraguas respaldado por el gobierno de ese país. Desde 2015, BeagleBoyz ha intentado robar casi 2 mil millones de dólares. El grupo malicioso, dijo CISA, también ha “manipulado y, en ocasiones, inutilizado sistemas informáticos críticos en bancos y otras instituciones financieras”.

El informe haxrob proporciona hashes criptográficos para rastrear las dos muestras de la versión de Linux recién descubierta y hashes para varias muestras recién descubiertas de FASTCash para Windows.