索尼影業(yè)案的Lazarus黑客團(tuán)伙卷土重來?

瞄上SWIFT銀行間轉(zhuǎn)賬系統(tǒng)的黑客，魔爪伸向了第4家銀行，這次，受害的是菲律賓銀行。

賽門鐵克安全研究人員認(rèn)為，2月發(fā)生的8100萬美元孟加拉央行驚天網(wǎng)絡(luò)劫案，其作案者與去年襲擊菲律賓銀行的是同一伙，是不斷滋生的銀行網(wǎng)絡(luò)攻擊案件中的一部分。

厄瓜多爾南方銀行1200萬美元失竊案也是同一伙黑客所為。針對(duì)不同銀行的這幾起網(wǎng)絡(luò)劫案中所用的惡意軟件有關(guān)聯(lián)性，表明多起銀行網(wǎng)絡(luò)攻擊事件背后的團(tuán)伙是同一個(gè)。

賽門鐵克已識(shí)別出東南亞金融業(yè)針對(duì)性攻擊中所用的3款惡意軟件：Backdoor.Fimlis、Backdoor.Fimlis.B 和 Backdoor.Contopee。最初，這些攻擊事件背后的動(dòng)機(jī)尚不明確，但Trojan.Banswift (孟加拉央行攻擊中用來操縱SWIFT交易的惡意軟件)與 Backdoor.Contopee 早期變體中的共用代碼提供了線索。

用來掩蓋銀行攻擊的擦除代碼與索尼影業(yè)案中所用的一致。策略、技術(shù)和流程上的共通性，令安全公司得以指認(rèn)SWIFT銀行劫案就是2年前洗劫了索尼影業(yè)的同一伙黑客所為。

賽門鐵克認(rèn)為，惡意軟件家族間共享的獨(dú)特代碼，以及 Backdoor.Contopee 被用于該地區(qū)金融機(jī)構(gòu)有限范圍內(nèi)針對(duì)性攻擊中的事實(shí)，意味著這些工具出自同一個(gè)黑客團(tuán)伙之手。之前，與名為L(zhǎng)azarus的大型威脅團(tuán)伙相關(guān)的攻擊者，曾使用過 Backdoor.Contopee。Lazarus是自2009年起一系列侵略性攻擊的操刀人，這些攻擊大多針對(duì)美國和韓國的目標(biāo)。因在索尼影業(yè)攻擊案中現(xiàn)身而被FBI廣而告之的破壞性木馬 Backdoor.Destover，同樣與Lazarus有關(guān)。FBI認(rèn)定，朝鮮政府是索尼影業(yè)攻擊案的主謀。

水有多深?

有證據(jù)表明，SWIFT(全球銀行間金融電信協(xié)會(huì))攻擊始于菲律賓銀行首次遭劫的2015年10月，比越南先鋒銀行那起被挫敗了的劫案還早2個(gè)月。

菲律賓銀行劫案中用到的幾款工具，與之前襲擊了索尼影業(yè)的Lazarus威脅團(tuán)伙所用的惡意軟件，在代碼上有著明顯的相似之處。美國政府始終堅(jiān)持2014年11月發(fā)生的索尼影業(yè)攻擊事件背后主謀是朝鮮政府。

賽門鐵克的發(fā)現(xiàn)有早前BAE系統(tǒng)所做研究的支持，將不斷增多的銀行網(wǎng)絡(luò)劫案的罪魁禍?zhǔn)字赶蛄顺r。

受瀆職指責(zé)影響，本周早些時(shí)候，SWIFT首席執(zhí)行官宣布了其銀行間轉(zhuǎn)賬系統(tǒng)的安全更新和信息共享推進(jìn)計(jì)劃。SWIFT仍堅(jiān)持，問題出在受影響的銀行身上，他們的系統(tǒng)一定早已被黑客染指，憑證也被偷走——盡管SWIFT也承認(rèn)需要做更多工作來對(duì)抗詐騙。

正如《經(jīng)濟(jì)學(xué)人》針對(duì)SWIFT網(wǎng)絡(luò)安全問題的報(bào)道所說，近期發(fā)生的幾起銀行黑客事件提起了對(duì)于跨境支付系統(tǒng)的關(guān)注。