SWIFT,一家为银行提供收发金融交易信息的安全网络的组织,发出了一个关于恶意软件攻击了另一家银行的警告。他们认为它的客户正面临“一个高度自适应运动目标银行的付款端点”。
在之前的案件——孟加拉中央银行抢劫——攻击者破坏银行的环境,获得有效的运营商凭证,允许他们迅速提交虚假消息,并通过删除一些虚假消息的痕迹来隐藏证据。
“在新的案件中,我们发现了一段恶意程序被用于定位客户使用的PDF阅读器应用程序来读取用户生成付款确认的PDF报告”,该组织解释道。
“一旦安装在一台被感染的本地机器上,这个PDF阅读器木马就会通过获取一个和正版软件相匹配的图标和文件描述。当打开包含客户特定SWIFT确认消息的本地报告的PDF文件时,这个木马将操纵这些PDF报告来删除欺诈指令的痕迹。”
他们确信该恶意软件并不能创建新的消息或者修改传出消息,并且不影响SWIFT的网络、接口软件或核心消息传递服务。
“在这两种情况下,攻击者都是利用在银行基金转移引发的环境中的漏洞,在消息被发送到SWIFT之前”,他们指出。“攻击者明显地显现出了对目标银行的特定操作控制深刻而精细的了解——这些了解可能是通过恶意的内部人员或网络攻击,或两者的结合来获取的。”
SWIFT没有确定这次袭击的受害者也没有说这次袭击最终是否成功。
不过,Sergei Shevchenko和Adrian Nish,两个英国宇航系统公司(BAE Systems)的研究人员正在分析该恶意软件,透露受到重创的金融机构是在越南的一家商业银行。
更重要的是,他们对这两起攻击的恶意软件的分析表明:
-
恶意软件在这两种情况下都是定制的
-
它有着独特的“文件擦除”和“文件删除”功能,这点是相同的或只有最低限度的修改
-
恶意软件展示相同的独特的特点,如互斥对象名称和加密密钥,其他工具在一个更大的工具包中描述US-CERT Alert TA14-353A——该警告被普遍认为描述了2014年索尼娱乐的那次攻击。
-
它包含一些相同的拼写错误,并且展示了是在相同的环境中被开发的。
“这些样本之间的重叠提供强有力的联系指向相同的最近银行抢劫案件的程序员和更广泛的活动,可以追溯到近十年”,他们指出。
“可能是这个文件删除功能存在于共享代码中,分布在多个想要达到相同效果的程序员那里。然而,经过在数以千万计的文件中搜索之后我们注意到,这段代码不是公开可用的或在任何其他软件中。独特的在文件删除之前覆盖之后决定移动和重命名文件是很不寻常的,而且并不是实现此功能时我们希望看到一个常见步骤。”
他们承认有可能涉及不同的程序员,并试图让它看起来像是一个或者相同的,但是他们说这是不可能的。
“程序员是谁,他们为谁工作,他们的进行这些攻击的动机是什么,仅凭数字证据是不能确定的”,他们说,并希望进一步调查命令的基础设施和相关工具能够给出更明确的答案。
同时,SWIFT敦促客户审查在他们的支付环境中的控件,所有消息,支付和电子银行通道,如果受到攻击请和SWIFT和当局分享这些信息。
“这当然是有趣的,同样的代码库被使用在和索尼被黑和孟加拉银行抢劫案这两个甚至更多的攻击中,也许把他们明确的联系在一起还为时过早”,王晨曦,Twistlock的首席战略官,对BAE系统公司的调查结果发表评论说。
“这是常见的,恶意软件作者去销售他们的产品,通常用多态的方式包装到多个犯罪集团。因此看到类似的代码或攻击行为出现在不同的黑客攻击中是不令人惊讶的。有一个繁荣的地下经济,链接一个小组的恶意软件作者到许多犯罪组织,允许他们的产品去造成广泛的损害和传播。虽然我们在不同的组织中支撑网络安全防御系统,但是我们不能忘记,这是绝对需要破坏和禁用地下交易问题的根源。”
文章原文链接:https://www.anquanke.com/post/id/83914