在2015年8月至2016年2月,黑客組織Buhtrap已經(jīng)成功地對俄羅斯銀行發(fā)起了13次網(wǎng)絡(luò)攻擊。
Buhtrap成功發(fā)起13次攻擊
自從2015年8月開始,黑客組織Buhtrap已經(jīng)成功地發(fā)起了13次網(wǎng)絡(luò)攻擊,這些攻擊對金融機(jī)構(gòu)造成了至少18億6千萬盧布(約合2740萬美元)的損失。在2015年四月,安全公司一種惡意軟件活動被稱為“Operation Buhtrap”,實際上是這個名稱是利用了俄語中會計師一詞(buhgalter),以及英語單詞trap組合而來的。
Buhtrap被證實只在俄羅斯和烏克蘭出現(xiàn)過,因而它還沒發(fā)展成為一種全球性的網(wǎng)絡(luò)攻擊。在那次攻擊中,大約88%的目標(biāo)是位于俄羅斯,而10%是位于烏克蘭。分析師們根據(jù)這一特點,就將其與Anunak/Carbanak攻擊行動聯(lián)系在了一起,因為Anunak/Carbanak攻擊行動也是針對俄羅斯和烏克蘭而發(fā)動的。這種攻擊的目標(biāo)都是特定的,而不是通常的網(wǎng)絡(luò)欺詐。在最后一次攻擊中攻擊者冒充FinCERT,即一個設(shè)立在俄羅斯銀行專門應(yīng)對金融網(wǎng)絡(luò)攻擊的部門。
根據(jù)安全公司Group-IB報告稱,Buhtrap在2014年就開始變得很活躍,但在2015年8月才檢測出具體的網(wǎng)絡(luò)攻擊情況。此前該組織專門針對銀行客戶,攻擊行動都是針對俄羅斯和烏克蘭而發(fā)動的,下面網(wǎng)絡(luò)攻擊時間表由Group-IB發(fā)布的:
2016年2月,Buhtrap的一名開發(fā)人員泄露了惡意軟件的所有代碼,但后來發(fā)現(xiàn)是早期的版本并不是最近流行的惡意軟件。報告中稱,此前該組織主要針對銀行賬戶,目前主要是針對烏克蘭和俄羅斯的銀行。
Buhtrap攻擊活動還在繼續(xù)
Buhtrap采用的方法很統(tǒng)一,都是注冊和目標(biāo)很類似的域名,然后從那里租服務(wù)器,通過設(shè)置來避免自己的郵件被過濾掉。該組織修改了惡意軟件,同時可以檢測到目標(biāo)的殺毒軟件以及其它防御型戰(zhàn)略。惡意軟件跟蹤每一個銀行業(yè)務(wù)客戶,惡意軟件會下載一個合法的遠(yuǎn)程管理軟件(LiteManager),然后通過欺騙行為來轉(zhuǎn)移訂單。
從2015年8月到2016年2月,Group-IB表示一共襲擊了13家俄羅斯銀行,并竊取了18億盧布(2570萬美元),最大的一次竊取了6億盧布(880萬美元),最小的金額為2560萬盧布(37萬美元)。
目前安全研究人員指出該組織還在繼續(xù)活動。
京公網(wǎng)安備 11010502049343號