索尼影業案的Lazarus黑客團伙卷土重來?

瞄上SWIFT銀行間轉賬系統的黑客，魔爪伸向了第4家銀行，這次，受害的是菲律賓銀行。

賽門鐵克安全研究人員認為，2月發生的8100萬美元孟加拉央行驚天網絡劫案，其作案者與去年襲擊菲律賓銀行的是同一伙，是不斷滋生的銀行網絡攻擊案件中的一部分。

厄瓜多爾南方銀行1200萬美元失竊案也是同一伙黑客所為。針對不同銀行的這幾起網絡劫案中所用的惡意軟件有關聯性，表明多起銀行網絡攻擊事件背后的團伙是同一個。

賽門鐵克已識別出東南亞金融業針對性攻擊中所用的3款惡意軟件：Backdoor.Fimlis、Backdoor.Fimlis.B 和 Backdoor.Contopee。最初，這些攻擊事件背后的動機尚不明確，但Trojan.Banswift (孟加拉央行攻擊中用來操縱SWIFT交易的惡意軟件)與 Backdoor.Contopee 早期變體中的共用代碼提供了線索。

用來掩蓋銀行攻擊的擦除代碼與索尼影業案中所用的一致。策略、技術和流程上的共通性，令安全公司得以指認SWIFT銀行劫案就是2年前洗劫了索尼影業的同一伙黑客所為。

賽門鐵克認為，惡意軟件家族間共享的獨特代碼，以及 Backdoor.Contopee 被用于該地區金融機構有限范圍內針對性攻擊中的事實，意味著這些工具出自同一個黑客團伙之手。之前，與名為Lazarus的大型威脅團伙相關的攻擊者，曾使用過 Backdoor.Contopee。Lazarus是自2009年起一系列侵略性攻擊的操刀人，這些攻擊大多針對美國和韓國的目標。因在索尼影業攻擊案中現身而被FBI廣而告之的破壞性木馬 Backdoor.Destover，同樣與Lazarus有關。FBI認定，朝鮮政府是索尼影業攻擊案的主謀。

水有多深?

有證據表明，SWIFT(全球銀行間金融電信協會)攻擊始于菲律賓銀行首次遭劫的2015年10月，比越南先鋒銀行那起被挫敗了的劫案還早2個月。

菲律賓銀行劫案中用到的幾款工具，與之前襲擊了索尼影業的Lazarus威脅團伙所用的惡意軟件，在代碼上有著明顯的相似之處。美國政府始終堅持2014年11月發生的索尼影業攻擊事件背后主謀是朝鮮政府。

賽門鐵克的發現有早前BAE系統所做研究的支持，將不斷增多的銀行網絡劫案的罪魁禍首指向了朝鮮。

受瀆職指責影響，本周早些時候，SWIFT首席執行官宣布了其銀行間轉賬系統的安全更新和信息共享推進計劃。SWIFT仍堅持，問題出在受影響的銀行身上，他們的系統一定早已被黑客染指，憑證也被偷走——盡管SWIFT也承認需要做更多工作來對抗詐騙。

正如《經濟學人》針對SWIFT網絡安全問題的報道所說，近期發生的幾起銀行黑客事件提起了對于跨境支付系統的關注。