Malware Fastcash ermöglicht modernen Bankraub am Geldautomaten

Angriff auf das Kernbanksystem der Bank: Die altbekannte Linux-Malware macht einmal mehr von sich reden. Die Malware schaltet sich in die Kommunikationswege der Banken an Geldautomaten ein und ermöglicht so, dass widerrechtlich Geld „abgehoben“ wird. Eigentlich ist Fastcash ein alter Bekannter. Die Malware auf Linux-Basis machte bereits vor einigen Jahren von sich reden und wurde immer wieder angepasst.

Die Vorgehensweise von Fastcash ist dabei komplex (und hier ausführlich beschrieben). Fastcash infiziert dazu gezielt Linux-Systeme, um Banken anzugreifen, die Geldautomaten betreiben. Die Malware zielt auf die Server, die den Zahlungsverkehr zwischen ATMs und Banknetzwerken regulieren. Sie verändert die Authentifizierung von Transaktionen, sodass Hacker durch manipulierte Anfragen hohe Geldbeträge abheben können, ohne dass dies sofort bemerkt wird.

Der Ursprung der Attacken liegt offenbar bei der nordkoreanischen Lazarus-Gruppe, die für zahlreiche Cyberangriffe bekannt ist. Dabei werden allerdings auch andere Gruppen aus Nordkorea mit der Malware in Zusammenhang gebracht. Die Malware zeigt eine hohe Anpassungsfähigkeit und entwickelt sich weiter, was die Abwehr erschwert. Sie war in der Vergangenheit auch ausschließlich für Windows sowie auf den Unix-basierten AIX-Systemen von IBM angetroffen worden. Die neue Variante wurde hingegen unter Ubuntu 22.04 entdeckt.

Nicht gedeckte Abhebungen werden dennoch genehmigt

Wie verschiedene Berichte beschreiben, ist das Ziel hinter Fastcash, spezielle Switches innerhalb der Bankensysteme und innerhalb der zentralen Netzwerkinfrastrukturen zu kompromittieren, also jene Vermittler, die die Kommunikation zwischen Geldautomaten/Point-of-Sale-Terminal und den zentralen Systemen der Bank steuern und Transaktionsanfragen weiterleiten. In einem zweiten Schritt ist das Ziel, Transaktionsnachrichten zu manipulieren. Es geht dabei um den Austausch von Zahlungstransaktionen zwischen den Computersystemen, genauer um Nachrichten gemäß ISO 8583.

Dabei sollen vor allem jene Transaktionen doch durchgelassen werden, die aufgrund fehlender Kontodeckung abgelehnt werden. Diese würden durch die Malware dennoch genehmigt, der entsprechende Flag von „abgelehnt“ durch „genehmigt“ ersetzt. Dabei erscheint die Malware als gemeinsam genutzte Bibliothek, die in einen laufenden Prozess auf einem Zahlungsserver injiziert wird und sich in Netzwerkfunktionen einklinkt. Gearbeitet wird dabei stets mit einem manipulierten, zufällig wechselnden Betrag. Zum Zeitpunkt seiner Entdeckung war die Linux-Variante von Fastcash von den meisten Sicherheitsprogrammen nicht erkannt werden. Dadurch konnte es den Angreifern gelingen, ungehindert Transaktionen durchzuführen.tw