Autrefois, FASTCash ne fonctionnait que sous Unix. Puis est arrivé Windows. Aujourd’hui, il peut également fonctionner sous Linux.
Au début, les pirates nord-coréens ont compromis l’infrastructure bancaire fonctionnant sous AIX, la version propriétaire d’Unix d’IBM. Ensuite, ils ont piraté l’infrastructure fonctionnant sous Windows. Aujourd’hui, les voleurs de banque soutenus par l’État ont étendu leur répertoire à Linux.
Le logiciel malveillant, repéré sous le nom de FASTCash, est un outil d’accès à distance qui s’installe sur les commutateurs de paiement à l’intérieur des réseaux compromis qui traitent les transactions par carte de paiement. L’Agence américaine de Cybersécurité et de Sécurité des infrastructures a mis en garde pour la première fois contre FASTCash en 2018 dans un avis indiquant que le logiciel malveillant infectait des commutateurs alimentés par AIX à l’intérieur de réseaux de paiement de détail. En 2020, l’agence a mis à jour ses conseils pour signaler que FASTCash infectait également les commutateurs fonctionnant sous Windows. Outre l’adoption de Windows, FASTCash a également élargi son Réseau pour inclure non seulement les commutateurs pour les paiements de détail, mais aussi ceux gérés par les processeurs de paiements interbancaires régionaux.
Modifier les messages de transaction à la volée
Au cours du week-end, un chercheur a signalé avoir trouvé deux échantillons de FASTCash pour les commutateurs fonctionnant sous Linux. L’un des échantillons est compilé pour Ubuntu Linux 20.04 et a probablement été développé après le 21 avril 2022. L’autre échantillon n’a probablement pas été utilisé. Au moment de la mise en ligne de cet article, seuls quatre moteurs anti-programmes malveillants avaient détecté chaque échantillon. Dimanche, le nombre de détections était de zéro. La version Linux a été téléchargée sur VirusTotal en juin 2023.
“La découverte de la variante Linux souligne encore davantage la nécessité de disposer de capacités de détection adéquates, qui font souvent défaut dans les environnements de serveurs Linux”, a écrit un chercheur utilisant le pseudonyme haxrob.
L’objectif de FASTCash est de compromettre un commutateur clé à l’intérieur des réseaux complexes qui servent d’intermédiaires pour les transactions de paiement entre les commerçants et leurs banques d’une part et, d’autre part, les émetteurs de cartes de paiement qui doivent approuver une transaction. Les commutateurs visés sont déployés à l’intérieur du réseau interbancaire qui relie.
Le diagramme ci-dessous illustre la manière dont les transactions se déroulent entre les émetteurs de cartes, appelés domaine d’émission, et le commerçant et la banque du commerçant, appelés domaine d’acquisition.
Le logiciel malveillant réside dans l’espace utilisateur du commutateur interbancaire qui relie le domaine d’émission et le domaine d’acquisition. Lorsqu’une carte compromise est utilisée pour effectuer une transaction frauduleuse, FASTCash modifie les messages que le commutateur reçoit des émetteurs avant de les retransmettre à la banque du commerçant. En conséquence, les messages de l’émetteur refusant la transaction sont transformés en approbations.
Le diagramme suivant illustre le fonctionnement de FASTCash :
Les commutateurs choisis pour être ciblés exécutent des implémentations mal configurées de la norme ISO 8583, une norme de messagerie pour les transactions financières. Ces mauvaises configurations empêchent les mécanismes d’authentification des messages, tels que ceux utilisés par le champ 64 défini dans la spécification, de fonctionner. Par conséquent, les messages falsifiés créés par FASTCash ne sont pas détectés comme frauduleux.
“Le logiciel malveillant FASTCash cible les systèmes qui envoient des messages ISO8583 à un hôte intermédiaire spécifique où les mécanismes de sécurité qui garantissent l’intégrité des messages sont absents et peuvent donc être altérés”, écrit haxrob. “Si les messages étaient protégés en termes d’intégrité, un champ tel que DE64 inclurait probablement un MAC (code d’authentification de message). Comme la norme ne définit pas l’algorithme, l’algorithme MAC est spécifique à l’implémentation”.
Le chercheur poursuit en expliquant :
Le logiciel malveillant FASTCash modifie les messages de transaction à un endroit du réseau où la falsification n’entraînera pas le rejet du message par les systèmes en amont ou en aval. Une position d’interception possible serait l’endroit où les messages ATM/PoS sont convertis d’un format à un autre (par exemple, l’interface entre un Protocole propriétaire et une autre forme de message ISO8583) ou lorsqu’une autre modification du message est effectuée par un processus s’exécutant dans le commutateur.
La CISA a déclaré que BeagleBoyz – l’un des noms sous lesquels les pirates nord-coréens sont suivis – est un sous-ensemble de HiddenCobra, un groupe parapluie soutenu par le gouvernement de ce pays. Depuis 2015, BeagleBoyz a tenté de dérober près de 2 milliards de dollars. Le groupe malveillant, selon la CISA, a également “manipulé et, parfois, rendu inopérants des systèmes informatiques critiques de banques et d’autres institutions financières”.
Le rapport haxrob fournit des hachages cryptographiques permettant de suivre les deux échantillons de la version Linux récemment découverte et les hachages de plusieurs échantillons de FASTCash pour Windows récemment découverts.
Jad MARCHI est un ardent défenseur de la technologie, passionné par son potentiel de transformation. Ayant accumulé une décennie d’expérience dans le secteur technologique, Jean a travaillé sur une variété de projets innovants qui l’ont amené à comprendre le paysage changeant de ce domaine. Il est fasciné par l’évolution rapide de la technologie et son impact sur notre société. Que ce soit l’intelligence artificielle, la robotique, la blockchain ou la cybersécurité, il est toujours à la recherche des dernières tendances. Ses articles cherchent à informer, à inspirer et à provoquer des réflexions sur la façon dont la technologie façonne notre avenir.