Malware FASTCash Linux : une nouvelle variante de la fraude aux distributeurs automatiques de billets
Des experts en cybersécurité ont découvert une nouvelle variante du malware FASTCash ciblant les systèmes Linux, ce qui suscite des inquiétudes quant à la vulnérabilité des réseaux de distributeurs automatiques de billets aux attaques sophistiquées. Connu pour permettre le retrait non autorisé d'argent liquide aux distributeurs automatiques de billets, le malware FASTCash a été lié à des groupes de cybercriminels nord-coréens. Cette découverte élargit la portée de ce malware, qui a historiquement affecté les systèmes IBM AIX et Windows. Maintenant que Linux est dans sa ligne de mire, il est plus important que jamais de comprendre les implications du malware FASTCash.
Table of Contents
Qu'est-ce que le malware FASTCash Linux ?
FASTCash est un type de malware hautement spécialisé conçu pour cibler les systèmes de traitement des paiements, en particulier ceux chargés de gérer les transactions aux distributeurs automatiques de billets. Son objectif principal est d'infiltrer l'infrastructure de « commutation de paiement » au sein des réseaux bancaires, permettant aux pirates d'approuver frauduleusement des transactions par carte qui devraient autrement être refusées. Ce faisant, ils facilitent les retraits d'espèces illégaux aux distributeurs automatiques de billets, en contournant les protocoles de sécurité de ces systèmes financiers.
Ce malware opère de manière dissimulée au sein des réseaux compromis en interceptant les messages de transaction refusés. Il autorise ensuite les retraits frauduleux, en trompant les distributeurs automatiques de billets pour qu'ils distribuent de l'argent sans la validation appropriée. Alors que les versions précédentes étaient axées sur les systèmes IBM AIX et Windows, la variante Linux récemment découverte élargit la surface d'attaque. En particulier, il a été compilé pour Ubuntu Linux 20.04, probablement développé dans un environnement virtuel contrôlé.
Élargir les horizons : d'AIX et Windows à Linux
Le passage à Linux marque une avancée significative dans les capacités de FASTCash. Les versions précédentes ciblaient principalement les systèmes IBM AIX, un système d'exploitation de type Unix utilisé par de nombreuses grandes institutions financières. Le malware a ensuite évolué pour infecter les plateformes Windows, démontrant ainsi son adaptabilité. Aujourd'hui, avec l'ajout de Linux à sa liste de cibles, il est clair que les attaquants derrière FASTCash sont déterminés à compromettre n'importe quel système d'exploitation majeur utilisé par les réseaux bancaires.
La version Linux se distingue par ses fonctionnalités légèrement réduites par rapport à son homologue Windows. Malgré ces différences, elle conserve des fonctionnalités essentielles qui lui permettent d'autoriser des transactions frauduleuses dans des devises spécifiques, comme la livre turque. Cela révèle la capacité des attaquants à personnaliser le malware pour atteindre des objectifs spécifiques, comme cibler des régions ou des institutions financières particulières.
Les objectifs du malware FASTCash
Le but ultime du malware FASTCash est de réaliser des gains financiers. En compromettant les commutateurs de paiement, les pirates peuvent manipuler les données de transaction pour effectuer des retraits non autorisés aux distributeurs automatiques. Ces retraits illicites sont souvent effectués par des « mules financières », des individus recrutés par les attaquants pour retirer physiquement l'argent des distributeurs automatiques. Cela rend non seulement difficile le suivi des fonds, mais accélère également l'opération, ce qui permet de siphonner rapidement de grandes quantités d'argent liquide.
Cependant, l'objectif plus large du malware semble être d'exploiter les faiblesses de l'infrastructure bancaire. En ciblant les commutateurs de paiement, les attaquants cherchent à exploiter les vulnérabilités des systèmes qui relient les distributeurs automatiques de billets, les terminaux de point de vente et les banques. Le commutateur de paiement est l'intermédiaire essentiel dans les transactions par carte, responsable du routage des messages entre les distributeurs automatiques de billets, les banques et les réseaux de cartes comme Visa et Mastercard. Lorsque FASTCash s'infiltre dans ce système, il prend le contrôle du mécanisme même qui décide si une transaction est autorisée ou refusée.
Conséquences du malware FASTCash sur Linux
La découverte de FASTCash ciblant Linux souligne la menace croissante qui pèse sur divers environnements d'exploitation. Les serveurs Linux sont largement utilisés dans les institutions financières pour leur stabilité, leur évolutivité et leur rentabilité. Cependant, ces environnements manquent souvent du même niveau de mesures de sécurité sophistiquées que les systèmes basés sur Windows, ce qui en fait des cibles attrayantes pour les cybercriminels.
L’un des aspects les plus préoccupants du malware FASTCash est sa capacité à échapper à la détection. La variante Linux utilise des techniques d’injection de processus pour intercepter les messages de transaction, contournant souvent les mécanismes de sécurité traditionnels. Sans outils de détection adéquats, tels que des solutions de détection et de réponse aux points de terminaison (EDR) spécifiquement configurées pour signaler les appels système anormaux, ces attaques peuvent passer inaperçues pendant de longues périodes.
Les institutions financières sont ainsi exposées à des risques considérables. Une attaque réussie pourrait entraîner des pertes financières considérables et nuire à la réputation d'une banque. En outre, la nature internationale de ces attaques, souvent attribuées à des groupes soutenus par l'État nord-coréen, suscite des inquiétudes quant à l'utilisation de la cybercriminalité pour financer des activités illégales.
Pourquoi Linux ?
Plusieurs facteurs peuvent motiver le passage aux systèmes Linux. Tout d’abord, de nombreuses banques utilisent Linux pour leur traitement back-end en raison de sa flexibilité et de sa nature open source. Cela offre aux cybercriminels davantage de possibilités d’exploiter ces systèmes, en particulier si les mesures de sécurité appropriées ne sont pas en place. De plus, les serveurs Linux sont parfois considérés comme moins vulnérables aux attaques, ce qui peut donner un faux sentiment de sécurité aux administrateurs.
Cependant, cette perception évolue rapidement à mesure que des menaces telles que FASTCash évoluent. L’utilisation de logiciels malveillants sophistiqués sur Linux démontre qu’aucun système d’exploitation n’est à l’abri des cyberattaques. Cela souligne encore davantage la nécessité d’une vigilance constante, d’audits de sécurité réguliers et de capacités de détection actualisées.
En résumé : protéger les systèmes de paiement
L'émergence du malware FASTCash Linux marque le début d'une nouvelle phase des cyberattaques contre les institutions financières. Alors que les systèmes Linux ont toujours été considérés comme plus sûrs, cette variante de malware révèle que les attaquants élargissent leur champ d'action, ciblant toute infrastructure facilitant les transactions aux distributeurs automatiques de billets.
Pour atténuer les risques posés par FASTCash, les institutions financières doivent s’assurer qu’elles disposent de systèmes de surveillance et de détection robustes. Les solutions EDR avancées, configurées pour détecter les comportements inhabituels du système, sont essentielles pour prévenir ce type d’attaque. En restant informées et en maintenant de solides pratiques de sécurité, les organisations peuvent mieux protéger leurs réseaux contre la menace croissante de FASTCash et d’autres cybermenaces en constante évolution.
