在2月份窃取了孟加拉国银行8100万美金的黑客使用的是一种偷来的凭据,用这种凭据将恶意软件包植入金融机构的SWIFT支付系统。这些攻击者利用这种凭据将偷来的钱转到菲律宾的账户中,而恶意软件会帮助他们清除攻击痕迹。 BAE系统公司的研究人员今天发布了一份报告,从技术角度具体分析了这种工具包,这种恶意组件被称为evtdiag,上传之后会进入恶意软件分析存储库中。 Evtdiag是专门为了访问孟加拉国银行的基础设施以及SWIFT联盟软件而打造的一种自定义恶意组件。金融行业的专业人士可以通过SWIFT联盟软件进行金融网络之间的信息交换。 BAE的一名研究人员 Sergei Shevchenko表示,“这个恶意软件似乎只是一个更广泛攻击工具包的一部分,因为他们要发送伪造的付款指令来转账,所以需要这个软件来进行踪迹的清除。这一举动会严重影响银行对于攻击的检测和响应,这也就给了攻击者更多的时间进行洗钱活动。” 在一份声明中,SWIFT告诉Threatpost,他们发现了这个恶意软件,但是认为这种软件只会影响客户端的安装,整个SWIFT网络和核心信息服务并没有受到影响。 SWIFT在其声明中写道,“我们知道这个恶意软件的目的是掩盖欺诈付款,攻击者从客户的本地数据库应用程序中转移资金,他们也只会在用户的本地系统中安装这种恶意软件,这体现了用户的终端安全存在漏洞。” 他们还表示会在今天更新软件,也会帮助用户核查数据记录库的异常情况。 声明还说,“应对这种攻击的关键还是在于用户自己,用户应该采用合适的安全措施来保障自身环境的系统安全,特别是那些接入SWIFT网络的系统。用户应该采用类似的保护措施保证自己不受到这种潜在威胁的攻击,保护自己的系统不被这种恶意软件攻击。” 2月的这次孟加拉国银行攻击案是有公开记录以来的最严重的一次攻击。周五的路透社报道称有一个调查员发现银行根本没有为自己的网络设置防火墙,用来管理接入SWIFT网络电脑的只是一台价值10美元的网络交换机。报道还说,攻击者向银行的联邦储蓄银行纽约账户申请了价值9亿5100万美金的欺诈交易,大部分付款遭拒,并且侥幸逃过检测的8100万交易也都已经被恢复。 攻击者利用这个基本安全措施漏洞窃取宿主机的本地凭据,然后将恶意软件植入SWIFT软件中。由于各客户的安全配置不同,其他的SWIFT安装也有可能遭到这种恶意软件的植入。同时,BAE还说,这种工具包是可定制的,可以量身定做来攻击其他机构。 今天的报告表示这个恶意软件工具包含四个要素,evtdiag中也包含了连入SWIFT国际网络的逻辑代码。BAE公司的Shevchenko还说,在欺诈交易被发现的两天时间里,这个恶意软件一直在不停地运行着。 恶意软件将自己注册为SWIFT联盟软件的服务运行套件,并且在Oracle数据库环境内操作。 他还写道,“主要目的是检查配置文件中定义的SWIFT字符串信息。从这些信息中,恶意软件就可以进行字段的提取或是转移引用,也可以提取SWIFT地址,从而与系统数据库进行交互。这些细节会被用来删除特定交易,或是更改平衡报告信息中的交易记录金额,而这些报告信息基于特定账户中的可兑换货币量。” BAE表示恶意软件到底是怎样被上传到孟加拉国银行网络中的,这些欺诈交易到底是如何发送的,这些还不得而知。 现在知道的就是,攻击者不仅仅能够进行盗窃,还可以在盗窃之后清除干净自己的痕迹。并且这种清除不仅仅是对数据库条目的更改,还包括对于供银行员工确认交易的打印文件的更改。 Shevchenko还说,“读取解析恶意软件定位的SWIFT信息会被转换为打印机命令语言(PCL)的描述文本。这些临时PRT文件会通过另一种被称为nroff.exe的可执行文件打印出来,这种可执行文件是SWIFT软件套件中的一个合法工具。” BAE建议,所有接入SWIFT网络中的金融机构都立即对自己的安全环境进行检查,因为攻击者在支付系统和恶意软件代码领域都是专家。 Shevchenko表示,“这次的攻击者花费了大量精力来清除自己的活动痕迹,颠覆了正常的业务流程来保护自己不被发现,严重妨碍了正常的攻击检测。我们应该得到这样的教训,现在罪犯团体变得越来越复杂,就可以执行越来越多的复杂攻击,尤其是特定领域的网络入侵(传统意义上的‘APT’域)。随着这种威胁愈演愈烈,企业和其他的网络管理者急需保障自己的系统的实时更新,保证自己时刻准备好应对不断变化着的安全挑战。” |