索尼被黑事件历历在目,Lazarus或重操旧业瞄准SWIFT银行
安全研究人员密切关注孟加拉国SWIFT(环球同业银行金融电讯协会)网络抢劫中使用的恶意软件,发现结论显而易见。
据赛门铁克(Symantec)、英国宇航系统公司(BAE Systems)以及网络战研究小组IssueMakersLab的Simon Choi报道,SWIFT网络攻击中使用的恶意软件与臭名昭著的黑客及网络间谍组织“拉撒路”(Lazarus Group)在攻击索尼、其他政府和私企中使用的恶意软件非常相似。
恶意软件出现“眼熟”的硬件“清除”功能
英国宇航系统公司于两周前首次发现两者之间的相同点,但安全公司一时陷入困顿。今天Symantec发布报告,显示潜入并对孟加拉国实施8100万美元网络抢劫的恶意软件详情,其结果表明两种恶意软件大致相同。
两大公司指出,通过查看Lazarus在部署攻击索尼时使用的恶意软件样本,会发现文件moutc.exe包含的诸多代码竟与之相似。
相同点在于均使用了“清除功能”,骗子通过该功能在感染系统上清除其活动踪迹。Symantec研究人员迅速将该文件中包含的孟加拉国恶意软件(Trojan.Banswift)与过去几年东南亚金融机构被攻击事件中使用的木马Backdoor.Contopee、Backdoor.Fimlis和Backdoor.Fimlis.B关联起来。
Symantec提供证据
Symantec先前将Backdoor.Contopee与Lazarus另一个主要的恶意软件工具Backdoor.Destover关联。如果你容易混淆复杂的恶意软件名称,完全不必担心。Symantec曾说过:
Symantec认为Backdoor.Contopee家族与Backdoor.Contopee对当地金融机构有限实施针对性攻击存在共享特征码的事实,意味着这些工具可能同属一个组织。
仔细查看Lazarus组织的报告,我们可以发现该组织于2011年和2013年对韩国的银行实施网络攻击,因此从理论上讲,Lazarus有专门的场所部署此类攻击。
菲律宾现另一起SWIFT被攻事件:
过去一周厄瓜多尔和越南另两家银行被曝新的恶意软件攻击SWIFT交易系统后,据传甚至在越南银行被攻击之前菲律宾的一家银行曾遭遇同样的网络抢劫事件。
据美国媒体报道,美国知名安全公司“火眼”(FireEye)正调查东南亚十几家银行被攻事件,线索指向同样的操作模式。再者,孟加拉国已经决定重新调查2013年以来可疑的银行网络抢劫事件,目的就是确定是否为非同一组织所为。
当时整个媒体对索尼被黑一片哗然,现已偃旗息鼓。看来,Lazarus已卷土重来,这次他们立足于最擅长的银行攻击。
Simon Chai提供了近期围绕攻击SWIFT事件的详情,见下图:
E安全/文 转载请注明E安全
E安全——全球网络安全新传媒
E安全微信公众号: EAQapp
E安全新浪微博:weibo.com/EAQapp
E安全PC站点:
E安全客服&投稿邮箱:eapp@easyaq.com
更多全球网络安全最新资讯,欢迎关注E安全APP客户端。
点击下方”阅读原文“即可下载安装E安全app