安全研究人员们在花时间剖析了针对孟加拉国银行的“SWIFT网络劫案”后,得出了清晰而又一致的结论。根据赛门铁克、BAE Systems、以及IssueMakersLab的Simon Choi的报告,本次攻击使用了基于SWIFT的恶意软件,这点与此前向索尼(以及其它政府机构和私营企业)发起网络攻击的Lazarus Group有着密切的关联。
恶意软件中包含了一个“熟悉的”抹盘功能。
BAE Systems于两周前率先曝光了它,不过安全企业偶尔也会陷入困顿。赛门铁克于今日发布了一份单独的报告,指出了用于渗透和劫走孟加拉国8100万美元的网络攻击的细节,结论也是基本相同的。
两家公司均指出,参照臭名昭著的Lazarus Group攻击索尼时所采用的恶意软件样本,moutc.exe中包含了诸多近似的代码功能,特别是一个“熟悉的”抹盘功能(攻击者用此来清除其曾活跃和感染过系统的痕迹)。
本次孟加拉国网络劫案中的恶意软件(Trojan.Banswift),就包含了这一文件,赛门铁克的研究人员迅速联想到了曾在东南亚金融机构肆虐过的jinrongBackdoor.Contopee,以及Backdoor.Fimlis和Backdoor.Fimlis.B。
赛门铁克此前曾将Backdoor.Contopee和Backdoor.Destover联系起来(Lazarus的一款主力工具)。如果你对一堆专业名称感到头大,只需记得该公司是揭露Lazarus Group活动的四大安全企业之一:
赛门铁克认为Backdoor.Contopee家族间共享的特征码,曾被有限地用于针对该地区金融机构的网络袭击,意味着这些工具可能为同一团伙所持有。
我们在深入阅读了Lazarus Group的报告后发现,FBI也曾将它与2011-2013年间针对韩国金融机构的攻击事件联系了起来,因而从理论上也能解释清这一点。
IssueMakersLab制作的信息图。
在过去的一周,针对SWIFT交易系统的新型恶意软件,又将目标瞄向了厄瓜多尔和越南的两家银行。而在针对越南的攻击发生前,菲律宾一家银行也遭遇了类似的攻击。
美国安全企业FireEye当前正在调查数十起针对银行的网络攻击案,线索指向其采用了相同的操作模式。此外,孟加拉国决定重启2013年发生的一起网络攻击事件的调查,以确认是否为同一团伙所谓。
本文转自d1net(转载)