惡意軟件樣本中包含部分翻譯質(zhì)量低下的俄文單詞及命令

2月21日訊 近期曾對世界范圍內(nèi)多家金融機構(gòu)開展高復(fù)雜度攻擊活動的黑客組織在其惡意軟件當(dāng)中故意插入俄文單詞與命令，希望借此對調(diào)查人員進行誤導(dǎo)。

來自英國網(wǎng)絡(luò)安全企業(yè)BAE Systems公司的研究人員們最近獲得并分析了幾份針對全球范圍內(nèi)31個國家中104家機構(gòu)(其中多數(shù)為銀行)發(fā)起之攻擊活動的惡意軟件樣本。

他們發(fā)現(xiàn)該惡意軟件中的數(shù)條命令與字符串似乎利用在線工具被翻譯成了俄文形式，不過由于翻譯質(zhì)量低下，俄羅斯人都很難理解其表達含義。

研究人員們在一份博文中表示，“在某些情況下，這種不準(zhǔn)確的翻譯完全改變了單詞的含義。這強烈暗示著發(fā)起上述攻擊活動的黑客并非俄羅斯本國人，因此使用俄文單詞似乎是一種‘誤導(dǎo)’。”

這種不尋常的行為很可能是為了提高歸因難度，并盡可能讓調(diào)查人員走上錯誤的理解方向。事實上，已經(jīng)存在技術(shù)性證據(jù)能夠?qū)⑦@些惡意軟件樣本同整體攻擊活動歸結(jié)于安全領(lǐng)域的某一黑客組織——即Lazarus Group。

該組織至少自2009年即開始活動，且多年來一直在對韓國及美國的各政府機構(gòu)及私人組織發(fā)動各類攻擊。

Lazarus據(jù)信曾于2014年負(fù)責(zé)攻擊索尼電影娛樂公司，并導(dǎo)致原本存儲于該公司及內(nèi)部計算機中的大量敏感數(shù)據(jù)外泄。FBI及其它美國情報部門將這一襲擊活動歸咎于朝鮮政府。

Lazarus組織還與去年孟加拉中央銀行遭遇的8100萬美元盜竊案有所關(guān)聯(lián)。在此次攻擊活動中，黑客利用惡意軟件操縱銀行使用的計算機設(shè)備，從而通過SWIFT網(wǎng)絡(luò)進行資金轉(zhuǎn)移。他們試圖轉(zhuǎn)移的資金總額高達9億5100萬美元，但其中一部分交易失敗、另一部分則在被發(fā)現(xiàn)后由銀行方面進行了恢復(fù)，因此最終損失鎖定為8100萬美元。

本月早些時候，另一起針對波蘭多家銀行的惡意軟件攻擊事件曝光，該項攻擊很可能是利用波蘭金融監(jiān)管局網(wǎng)站中存在的漏洞所完成。

來自BAE Systems與賽門鐵克公司的研究人員們已經(jīng)將此次波蘭銀行攻擊行動同自去年10月以來出現(xiàn)的另一波規(guī)模更大的惡意活動關(guān)聯(lián)起來，相關(guān)組織還涉及了多起水坑式入侵事件。墨西哥國家銀行業(yè)委員會與烏克蘭最大的國有銀行也曾經(jīng)遭遇到類似的感染與入侵。

這些攻擊活動中所使用的攻擊載體代碼與過去Lazarus組織曾使用的工具類似。

確實存在著數(shù)個來自俄羅斯且專門針對銀行機構(gòu)的網(wǎng)絡(luò)犯罪團伙。這些組織利用魚叉式網(wǎng)絡(luò)釣魚手段在銀行網(wǎng)絡(luò)中取得立足點，而后學(xué)習(xí)機構(gòu)內(nèi)部程序以實施資金竊取。BAE Systems公司的研究結(jié)果表明Lazarus可能在試圖將其惡意活動同這些俄羅斯網(wǎng)絡(luò)犯罪分子聯(lián)系起來。