惡意軟件樣本中包含部分翻譯質量低下的俄文單詞及命令

2月21日訊 近期曾對世界范圍內多家金融機構開展高復雜度攻擊活動的黑客組織在其惡意軟件當中故意插入俄文單詞與命令，希望借此對調查人員進行誤導。

來自英國網絡安全企業BAE Systems公司的研究人員們最近獲得并分析了幾份針對全球范圍內31個國家中104家機構(其中多數為銀行)發起之攻擊活動的惡意軟件樣本。

他們發現該惡意軟件中的數條命令與字符串似乎利用在線工具被翻譯成了俄文形式，不過由于翻譯質量低下，俄羅斯人都很難理解其表達含義。

研究人員們在一份博文中表示，“在某些情況下，這種不準確的翻譯完全改變了單詞的含義。這強烈暗示著發起上述攻擊活動的黑客并非俄羅斯本國人，因此使用俄文單詞似乎是一種‘誤導’。”

這種不尋常的行為很可能是為了提高歸因難度，并盡可能讓調查人員走上錯誤的理解方向。事實上，已經存在技術性證據能夠將這些惡意軟件樣本同整體攻擊活動歸結于安全領域的某一黑客組織——即Lazarus Group。

該組織至少自2009年即開始活動，且多年來一直在對韓國及美國的各政府機構及私人組織發動各類攻擊。

Lazarus據信曾于2014年負責攻擊索尼電影娛樂公司，并導致原本存儲于該公司及內部計算機中的大量敏感數據外泄。FBI及其它美國情報部門將這一襲擊活動歸咎于朝鮮政府。

Lazarus組織還與去年孟加拉中央銀行遭遇的8100萬美元盜竊案有所關聯。在此次攻擊活動中，黑客利用惡意軟件操縱銀行使用的計算機設備，從而通過SWIFT網絡進行資金轉移。他們試圖轉移的資金總額高達9億5100萬美元，但其中一部分交易失敗、另一部分則在被發現后由銀行方面進行了恢復，因此最終損失鎖定為8100萬美元。

本月早些時候，另一起針對波蘭多家銀行的惡意軟件攻擊事件曝光，該項攻擊很可能是利用波蘭金融監管局網站中存在的漏洞所完成。

來自BAE Systems與賽門鐵克公司的研究人員們已經將此次波蘭銀行攻擊行動同自去年10月以來出現的另一波規模更大的惡意活動關聯起來，相關組織還涉及了多起水坑式入侵事件。墨西哥國家銀行業委員會與烏克蘭最大的國有銀行也曾經遭遇到類似的感染與入侵。

這些攻擊活動中所使用的攻擊載體代碼與過去Lazarus組織曾使用的工具類似。

確實存在著數個來自俄羅斯且專門針對銀行機構的網絡犯罪團伙。這些組織利用魚叉式網絡釣魚手段在銀行網絡中取得立足點，而后學習機構內部程序以實施資金竊取。BAE Systems公司的研究結果表明Lazarus可能在試圖將其惡意活動同這些俄羅斯網絡犯罪分子聯系起來。