关于朝鲜黑客利用FASTCash恶意软件从多个国家ATM机中窃取资金

　　与朝鲜相关的恶意软件FASTCash正利用针对Linux的新变体实施攻击，目的是窃取资金。研究人员表示，这种恶意软件安装在被入侵网络中处理银行卡交易的支付交换机上，以实施未授权的自动取款机提现交易。

　　一、基本内容

　　美国相关机构于2018年10月首次记录了FASTCash，称至少自2016年底以来，有朝鲜背景的黑客组织Hidden Cobra就利用该恶意软件将非洲和亚洲地区的银行ATM作为攻击目标。在2017年的一起攻击事件中，该组织成功对位于30多个不同国家/地区的ATM机成功实施了攻击;2018年，同样的攻击又在23个不同国家的ATM机中上演。

　　该恶意软件为Ubuntu Linux 20.04编译的共享对象(“libMyFc.so”)形式，攻击手法为篡改预定义的持卡人账号因资金不足而被拒绝的交易信息，并允许他们提取随机金额的土耳其里拉，每笔金额从12000到30000里拉(350美元到875美元)不等。之前的FASTCash仅适用于微软Windows系统和和 IBM AIX，但最新调查结果显示，新版本的恶意软件已经能够适用于Linux系统，相关样本于2023年6月中旬首次提交到了VirusTotal平台。

　　二、相关发声情况

　　1、美国国土安全部(DHS)：

　　发布了针对Hidden Cobra的技术性预警公告，指出了FASTCash攻击的存在。

　　与财政部(DoT)和联邦调查局(FBI)合作，共同应对这一威胁。

　　2、安全公司赛门铁克(Symantec)：

　　发表了关于FASTCash攻击的报告，详细分析了恶意软件的工作原理和攻击手法。

　　发现了Hidden Cobra用于FASTCash攻击的关键性工具，并命名为Trojan.Fastcash。

　　3、US-CERT：

　　提供了关于FASTCash攻击的详细技术信息，包括响应行为的IoC(折衷指标)、推荐的缓解技术和报告应急事件的信息。

　　建议银行采取双因素身份验证等最佳实践来保护其网络。

　　三、分析研判

　　该事件揭示了朝鲜背景的黑客组织Hidden Cobra自2016年底以来，持续利用FASTCash恶意软件对全球多地银行ATM进行攻击，其攻击范围广泛，涉及非洲和亚洲等多个地区，且攻击手法狡猾，通过篡改交易信息提取现金。值得注意的是，FASTCash恶意软件已不断进化，从最初仅适用于Windows和AIX系统，到新版本已能适用于Linux系统，显示出该黑客组织的技术实力和持续威胁性。

　　四、应对策略

　　针对“Twelve”黑客组织的网络攻击，以下是一些应对策略：

　　1、加强监控与预警：

　　金融机构应加强对ATM交易活动的实时监控，及时发现并响应异常交易行为。

　　建立和完善网络安全预警机制，及时获取并分享有关FASTCash等恶意软件的最新情报。

　　2、升级系统与安全防护：

　　对ATM系统进行全面的安全评估，确保系统补丁及时更新，以防止已知漏洞被利用。

　　针对FASTCash恶意软件的新版本，升级Linux系统的安全防护措施，如使用最新的防病毒软件和防火墙。

　　3、强化交易验证机制：

　　引入更严格的交易验证流程，如双因素身份验证，以降低恶意软件篡改交易信息的风险。

　　对大额或异常交易进行人工审核，确保交易的合法性和真实性。