愛到無å¯æ•'è—¥ - å"å†
从孟加拉国中央银行手中盗取8,100万美元的黑客很可能使用了旨在干扰许多金融机构使用的SWIFT交易软件的定制恶意软件
攻击者试图在2月份从纽约联邦储备银行的孟加拉银行账户转出9.51亿美元,但大部分转账在完成前都被阻止。攻击者确实已经设法向菲律宾的账户发送8100万美元,并且这笔钱仍然缺少。
BAE Systems的研究人员最近遇到了几个恶意软件组件,他们认为这些组件是自定义攻击工具包的一部分,可能用于
[进一步阅读:如何从Windows PC删除恶意软件]样本已被孟加拉国某人上传到在线恶意软件库,它们旨在监控,删除和更改所用数据库中的交易记录SWIFT客户端软件
位于布鲁塞尔的SWIFT或全球银行间金融电信协会是由成千上万的金融机构拥有的合作社,运营着全球最大的安全金融信息网络。
恶意软件之一组件绕过了作为SWIFT Alliance软件套件一部分的库中的验证检查,该套件将交易记录存储在Oracle数据库中,BAE研究人员在博客文章周一
然后,流氓程序将监视SWIFT Financial Application消息是否在加密配置文件中定义的字符串中。
恶意软件还会监控应用程序中的登录和注销事件,并在检测到这些事件时通知命令与控制服务器
最后,当恶意软件检测到相应的数据库条目并将其删除时,该程序可以处理确认SWIFT消息,该消息由银行的系统自动打印在纸上。 BAE研究人员表示,修改数据库记录不足以隐藏欺诈性交易,因为这些印刷的确认信息可能会引发攻击。
关于计划周密的孟加拉银行抢劫案,仍有许多未知数,例如谁落后,他们如何进入银行的网络,以及他们如何启动流氓转账。然而,这种自定义恶意软件工具包的存在应该作为对其他金融机构的警告。
“这种恶意软件是为攻击特定的受害者基础设施而编写的,但攻击中使用的一般工具,技术和程序可能允许帮派再次罢工,“BAE研究人员说。 “运行SWIFT Alliance Access和类似系统的所有金融机构都应该认真审查其安全性,以确保它们不被暴露。”
SWIFT了解恶意软件的存在。然而,该计划并未影响SWIFT的网络或核心消息传递服务,该组织在电子邮件声明中表示,“我们了解到,该恶意软件旨在隐藏客户本地数据库应用程序的欺诈性支付痕迹,并且只能可以被攻击者安装在用户的本地系统上,这些攻击者已经成功地识别并利用了他们当地的安全弱点,“SWIFT说。”我们已经开发了一个工具来帮助客户提高他们的安全性并且发现他们本地数据库记录中的不一致,“该组织补充说。 “但是,针对此类攻击情景的关键防御措施仍然是让用户在其本地环境中实施适当的安全措施,以保护其系统 - 尤其是用于访问SWIFT的系统 - 以防止此类潜在安全威胁。”
据调查人员介绍,导致孟加拉国中央银行遭受攻击成功的因素之一是该银行的SWIFT系统与其他网络之间缺乏适当的分割。 SWIFT连接的计算机通过廉价的交换机连接到网络,没有管理功能,也没有防火墙,据路透社报道,
