索尼影业案的Lazarus黑客团伙卷土重来?
瞄上SWIFT银行间转账系统的黑客,魔爪伸向了第4家银行,这次,受害的是菲律宾银行。
赛门铁克安全研究人员认为,2月发生的8100万美元孟加拉央行惊天网络劫案,其作案者与去年袭击菲律宾银行的是同一伙,是不断滋生的银行网络攻击案件中的一部分。
厄瓜多尔南方银行1200万美元失窃案也是同一伙黑客所为。针对不同银行的这几起网络劫案中所用的恶意软件有关联性,表明多起银行网络攻击事件背后的团伙是同一个。
赛门铁克已识别出东南亚金融业针对性攻击中所用的3款恶意软件:Backdoor.Fimlis、Backdoor.Fimlis.B 和 Backdoor.Contopee。最初,这些攻击事件背后的动机尚不明确,但Trojan.Banswift (孟加拉央行攻击中用来操纵SWIFT交易的恶意软件)与 Backdoor.Contopee 早期变体中的共用代码提供了线索。
用来掩盖银行攻击的擦除代码与索尼影业案中所用的一致。策略、技术和流程上的共通性,令安全公司得以指认SWIFT银行劫案就是2年前洗劫了索尼影业的同一伙黑客所为。
赛门铁克认为,恶意软件家族间共享的独特代码,以及 Backdoor.Contopee 被用于该地区金融机构有限范围内针对性攻击中的事实,意味着这些工具出自同一个黑客团伙之手。之前,与名为Lazarus的大型威胁团伙相关的攻击者,曾使用过 Backdoor.Contopee。Lazarus是自2009年起一系列侵略性攻击的操刀人,这些攻击大多针对美国和韩国的目标。因在索尼影业攻击案中现身而被FBI广而告之的破坏性木马 Backdoor.Destover,同样与Lazarus有关。FBI认定,朝鲜政府是索尼影业攻击案的主谋。
水有多深?
有证据表明,SWIFT(全球银行间金融电信协会)攻击始于菲律宾银行首次遭劫的2015年10月,比越南先锋银行那起被挫败了的劫案还早2个月。
菲律宾银行劫案中用到的几款工具,与之前袭击了索尼影业的Lazarus威胁团伙所用的恶意软件,在代码上有着明显的相似之处。美国政府始终坚持2014年11月发生的索尼影业攻击事件背后主谋是朝鲜政府。
赛门铁克的发现有早前BAE系统所做研究的支持,将不断增多的银行网络劫案的罪魁祸首指向了朝鲜。
受渎职指责影响,本周早些时候,SWIFT首席执行官宣布了其银行间转账系统的安全更新和信息共享推进计划。SWIFT仍坚持,问题出在受影响的银行身上,他们的系统一定早已被黑客染指,凭证也被偷走——尽管SWIFT也承认需要做更多工作来对抗诈骗。
正如《经济学人》针对SWIFT网络安全问题的报道所说,近期发生的几起银行黑客事件提起了对于跨境支付系统的关注。
本文转自d1net(转载)
