赛门铁克说木马Odinaff正在进攻SWIFT成员银行 该木马瞄准全球各大金融组织

据赛门铁克报告,已经有第二个黑客组织瞄准了SWIFT(环球同业银行金融电讯协会)成员银行。这个黑客组织被认为是Carbanak或与Carbanak有关,但据信与Lazarus组织没有任何直接关联。在今年早些时候的孟加拉国中央银行8100万美元失窃事件、越南和厄瓜多尔被攻击事件中,Lazarus组织是幕后黑手。

赛门铁克说木马Odinaff主要针对SWIFT成员银行

这一发现来自于对正感染赛门铁克客户的新木马的分析。该木马被称为Trojan.Odinaff。赛门铁克报告称,该木马瞄准了“全球大量金融组织……主要关注银行、证券、贸易和工资行业中的组织。”

Odinaff与Carbanak及其首要工具Anunak(Carberp)有大量的相似之处,包括相似的作案手法、几个相同的C&C服务器地址、以及对Backdoor.Batel的使用。“虽然Odinaff可能只是更大范围的[Carbanak]组织的一部分,但基础设施的交叉是非典型的,意味着Odinaff也可能是类似或者合作团体。”

赛门铁克未说明是否在任何一个SWIFT银行中发现了Odinaff木马,但其分析表明这个木马已经被用于瞄准SWIFT成员银行。

赛门铁克声称:“赛门铁克已经发现证据,证明Odinaff团队已经对SWIFT用户进行了攻击,利用恶意软件隐藏客户本地与欺诈交易相关的SWIFT消息记录。”

8月,SWIFT首席执行官Gottfried Leibbrandt向客户提出警告,声称网络攻击很可能会加剧。

“客户的环境已经被侵入,攻击者随后尝试发送虚假支付指令。该威胁具有可持久、自适应、复杂程度高的特点,并且会长期存在。”没有明确的迹象表明,该警告和赛门铁克关于Odinaff的研究有关。

然而,路透社将这两者联系到了一起:

“SWIFT发言人Natasha de Teran说,SWIFT的客户安全情报团队已经在今年夏天就Odinaff的活动向SWIFT成员发布警告。”

SWIFT是做什么的

SWIFT是全球通行的银行间转账支付平台,使用者分布在全世界200多个国家和地区,为超过1.1万家的银行和其它金融机构提供服务。

今年2月份,孟加拉国央行的SWIFT系统遭到不明身份的黑客入侵,攻击其在美国纽约联邦储备银行开设的账户,盗取了近1亿美元;

6月份,乌克兰一家银行遭到攻击,被窃取近1000万美元。据国际信息系统审计协会(ISACA)的调查,今年有数十家银行的SWIFT系统被攻击,这些银行主要集中在乌克兰和俄罗斯,损失可能高达数亿美元。

针对这样的恶劣态势, SWIFT成立网络安全小组 帮助银行防御高级网络攻击

Odinaff木马进行鱼叉式攻击 也有C&C服务器

Odinaff的感染方式被认为是鱼叉式钓鱼攻击。已知的两种攻击方式为:包含恶意微软Office宏的附件,以及用密码保护的RAR文档附件。一旦恶意宏被激活、或者RAR文档被打开,Odinaff木马就会被植入。

Odinaff是感染的开路者——作为一个轻量后门木马,它每五分钟轮询一次C&C服务器。这令更多的恶意软件得以安装。这些针对SWIFT的工具“ 被设计用来监控客户本地消息记录中与某些交易相关的关键词。它们随后将这些记录从客户本地的SWIFT软件环境中删除。” 攻击者使用的文件夹结构似乎“很大程度上是专属的、用户自定义的,意味着每一个可执行文件都明显为目标系统量身定做。”

赛门铁克发现的文件之一是擦除器—— 它能覆写硬盘的主引导记录(MBR) 

“我们相信,当攻击者离开系统或者想阻碍调查时,这个工具被用来掩盖攻击者的行踪。”这在任何SWFIT攻击中都是有用的,目的在于给攻击者留下足够时间,将窃取的钱从调查者的控制范围内转移走。

据赛门铁克的报告称 , Odinaff 攻击似乎已经开始在 2016 年 1 月。攻击主要针对美国,其后是中国香港、 澳大利亚、 英国和乌克兰。

Odinaff木马的背后是谁

这类精准的、人工密集型的攻击常常意味着国家支持。攻击孟加拉中央银行的Lazarus组织被发现与攻击索尼的黑客组织有关联,而后者被美国政府(虽然不一定被赛门铁克)归咎于朝鲜。然而,在这次事件中,赛门铁克表示它相信Carbanak/Odinaff没有国家支持背景。赛门铁克研究员Eric Chien告诉路透社, Odinaff“看上去是受金融动机驱动的犯罪团伙,而不是受国家驱动 。”

Odinaff并不仅仅瞄准了SWIFT成员银行。根据赛门铁克的研究,Odinaff牵涉到在美国、中国香港、澳大利亚、英国、乌克兰和爱尔兰发生的攻击。这些攻击的34%是针对金融行业的。其他“60%的攻击针对行业不明的目标;但在很多情况下,遭受攻击的都是运行金融软件的电脑,意味着这些攻击很可能受金融动机驱动。”

Carbanak据说在两年中从100家不同的银行窃取了超过10亿美元。

就在SWIFT银行网络遭受的最新威胁被公之于众时,七国集团于周二概述了一个新框架,以保护金融机构免受网络攻击。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

盘点世界十大著名黑客攻击事件

相信很多像小编一样的80后,都听说过了蠕虫病毒,或者说熊猫烧香病毒,今天闲着没事,小编来跟大家盘点一下,世界典型大型黑客袭击事件。 一、勒索病毒事件 ? 勒索病...

4.6K6
来自专栏网络安全防护

DDoS攻击日益加剧,互联网企业该如何应对?

最近这几年,对我们的生活影响最大改变最多的就是互联网。互联网的不断发展在给人们带来各种便利的同时,也带来了各种网络安全威胁,网络攻击从互联网诞生开始就从未停止。...

1000
来自专栏IT派

5月1日起,收发快递将有大变化!“快递之痛”要破解了...

《条例》强化了快件处理操作规范,指引企业在操作中采取有效措施保障快件安全,要求“不着地、不抛件”,防范“野蛮操作”。

1232
来自专栏新智元

特朗普签署《国防授权法》,禁止美政府雇员使用华为、中兴、海康、大华等中国设备

【新智元导读】美国总统特朗普签署《国防授权法》,正式禁止美国政府雇员使用华为和中兴等中国企业的关于用户数据查看和传输的设备和技术。此外,禁令波及范围还包括杭州海...

834
来自专栏域名资讯

真是热闹! Slade.com等多个域名被曝交易

之前报道了“超自然”SuperNatural.com近139万元成交的消息,没过多久,又传出不少域名交易的消息,他们分别是:   Slade.com...

2139
来自专栏企鹅号快讯

终被捕!5名罗马尼亚黑客因入侵华盛顿政府摄像头被捕

导语:作为国际勒索软件案调查的一部分,美国和欧洲(英国、荷兰、罗马尼亚)执法当局于上周三(12月20日)正式对外宣布称,他们在过去一周已经合作逮捕了五名罗马尼亚...

2206
来自专栏FreeBuf

漏洞盒子发布《2015上半年度金融行业互联网安全报告》

作为世界第二大经济体的中国经济,一举一动总是会成为全球瞩目的焦点。2015年中国股市如同乘坐了过山车一般在股民惊悚的叫喊声中度过了不太平的半年。而中国在上半年还...

2327
来自专栏安恒信息

网络诈骗让银行和个人损失惨重

2013年还没结束,就被人们扣上了“网络安全漏洞之年”的帽子。截至到8月份,大量的网络攻击事件让众多金融机构损失高达数百万美元。从以报复为目的的“...

3385
来自专栏BestSDK

揭秘!勒索病毒背后超10亿美金的商业帝国

这个周一,“开电脑”变成了最惊心动魄的事儿,大家生怕“中彩”染上“想哭”(WannaCry)病毒。截至15日早晨,这一比特币勒索病毒已蔓延至全球150个国家,全...

3834
来自专栏FreeBuf

卡巴斯基自证清白之路:安全领域将要“巴尔干化”了吗?

本周四(11 月 16 日),卡巴斯基实验室公布了关于 NSA 数据被盗事件的调查细节,力证自己并非是俄罗斯政府的间谍,只是有其他俄罗斯黑客利用了卡巴斯基的软件...

2348

扫码关注云+社区

领取腾讯云代金券