安全研究人員們在花時間剖析了針對孟加拉國銀行的“SWIFT網(wǎng)絡(luò)劫案”后,得出了清晰而又一致的結(jié)論。根據(jù)賽門鐵克、BAE Systems、以及IssueMakersLab的Simon Choi的報告,本次攻擊使用了基于SWIFT的惡意軟件,這點與此前向索尼(以及其它政府機構(gòu)和私營企業(yè))發(fā)起網(wǎng)絡(luò)攻擊的Lazarus Group有著密切的關(guān)聯(lián)。
惡意軟件中包含了一個“熟悉的”抹盤功能。
BAE Systems于兩周前率先曝光了它,不過安全企業(yè)偶爾也會陷入困頓。賽門鐵克于今日發(fā)布了一份單獨的報告,指出了用于滲透和劫走孟加拉國8100萬美元的網(wǎng)絡(luò)攻擊的細(xì)節(jié),結(jié)論也是基本相同的。
兩家公司均指出,參照臭名昭著的Lazarus Group攻擊索尼時所采用的惡意軟件樣本,moutc.exe中包含了諸多近似的代碼功能,特別是一個“熟悉的”抹盤功能(攻擊者用此來清除其曾活躍和感染過系統(tǒng)的痕跡)。
本次孟加拉國網(wǎng)絡(luò)劫案中的惡意軟件(Trojan.Banswift),就包含了這一文件,賽門鐵克的研究人員迅速聯(lián)想到了曾在東南亞金融機構(gòu)肆虐過的jinrongBackdoor.Contopee,以及Backdoor.Fimlis和Backdoor.Fimlis.B。
賽門鐵克此前曾將Backdoor.Contopee和Backdoor.Destover聯(lián)系起來(Lazarus的一款主力工具)。如果你對一堆專業(yè)名稱感到頭大,只需記得該公司是揭露Lazarus Group活動的四大安全企業(yè)之一:
賽門鐵克認(rèn)為Backdoor.Contopee家族間共享的特征碼,曾被有限地用于針對該地區(qū)金融機構(gòu)的網(wǎng)絡(luò)襲擊,意味著這些工具可能為同一團伙所持有。
我們在深入閱讀了Lazarus Group的報告后發(fā)現(xiàn),F(xiàn)BI也曾將它與2011-2013年間針對韓國金融機構(gòu)的攻擊事件聯(lián)系了起來,因而從理論上也能解釋清這一點。
IssueMakersLab制作的信息圖。
在過去的一周,針對SWIFT交易系統(tǒng)的新型惡意軟件,又將目標(biāo)瞄向了厄瓜多爾和越南的兩家銀行。而在針對越南的攻擊發(fā)生前,菲律賓一家銀行也遭遇了類似的攻擊。
美國安全企業(yè)FireEye當(dāng)前正在調(diào)查數(shù)十起針對銀行的網(wǎng)絡(luò)攻擊案,線索指向其采用了相同的操作模式。此外,孟加拉國決定重啟2013年發(fā)生的一起網(wǎng)絡(luò)攻擊事件的調(diào)查,以確認(rèn)是否為同一團伙所謂。
京公網(wǎng)安備 11010502049343號