網路安全界正在熱議朝鮮駭客最近使用 Linux 惡意軟體攻擊自動取款機和金融系統的新發現。這一發展標誌著國家支援的網路犯罪分子在戰術上的重大擴充套件,引發了人們對銀行業安全威脅形勢演變的擔憂。
ISO 8583 漏洞:關鍵因素
技術專家討論的核心焦點之一是 ISO 8583 訊息標準在這些攻擊中的作用。漏洞似乎源於 ISO 8583 配置錯誤的實施,而不是 Linux 本身的固有缺陷。這一區別對於理解威脅的本質和潛在的緩解策略至關重要。
ISO 8583 是一個廣泛使用的金融交易訊息標準。被稱為 FASTCash 的惡意軟體利用了某些銀行基礎設施中該標準實施的弱點。具體來說,它針對訊息認證機制配置不當的系統,使攻擊者能夠在不被發現的情況下篡改交易批准。
超越 Windows:Linux 新戰場
雖然傳統上許多自動取款機執行 Windows 系統,但發現基於 Linux 的惡意軟體表明朝鮮駭客的戰略轉變。這一舉動展示了他們的適應能力和網路行動範圍的擴大。此前針對 AIX 和 Windows 系統的 FASTCash 惡意軟體,現在包括了 Linux 變體,可能是為 Ubuntu 20.04 編譯的版本。
這種向 Linux 環境的擴充套件特別令人擔憂,因為據安全研究人員觀察,與 Windows 相比,Linux 伺服器環境往往缺乏足夠的檢測能力。這種安全措施的差距可能為攻擊者提供新的利用途徑。
FASTCash 的運作機制
FASTCash 透過入侵處理支付卡交易的銀行間網路關鍵交換機來運作。一旦安裝,該惡意軟體就會攔截並修改髮卡行和商業銀行之間的訊息。在典型的攻擊場景中,FASTCash 將髮卡行的拒絕訊息篡改為批准,從而有效地授權欺詐交易。
這種方法的複雜之處在於它能夠精確定位交易過程中的特定點,在這些點上篡改訊息不會觸發上游或下游系統的拒絕。這種精確性凸顯了涉及朝鮮駭客組織的高階能力。
對金融安全的影響
發現基於 Linux 的 FASTCash 變體突顯了在金融基礎設施使用的所有作業系統中實施全面安全措施的必要性。這提醒我們網路安全威脅在不斷發展,防禦者必須在不同的技術環境中保持警惕。
隨著網路安全界繼續分析這些新的惡意軟體樣本,全球金融機構被敦促審查和加強其安全協議,特別是關注 ISO 8583 的實施和交易訊息系統的完整性。
據報道與朝鮮國家利益有關的 BeagleBoyz 等組織的持續活動,凸顯了針對全球金融系統的網路威脅的持續性和演變性。在試圖竊取數十億美元和破壞關鍵金融基礎設施的情況下,這場網路戰的風險仍然異常之高。