Орфография французского языка. Когда ставить accent grave, а когда – accent aigu?
隐身,持久和高级恶意软件仅与网络间谍活动相关的时代已经过去。犯罪分子现在正在使用类似的威胁和技术从金融机构窃取数百万美元。去年,来自安全厂商卡巴斯基实验室的研究人员被要求调查来自位于俄罗斯的29家银行和其他组织的不寻常盗窃案,导致三个新的复杂攻击活动。他们的调查结果在公司年度安全分析师峰会期间提出。
一组攻击者正在使用称为Metel或Corkow的模块化恶意软件程序来感染属于银行的计算机系统并逆转ATM交易。在一个晚上,这个团伙使用这个难以察觉的交易回滚技巧从一家俄罗斯银行窃取了数百万卢布。
[更多阅读:如何从Windows PC删除恶意软件]
Metel攻击者开始通过向银行和其他金融机构的员工发送带有恶意链接的钓鱼电子邮件。一旦他们损害了这些组织中的计算机,他们就会在网络中横向移动,以识别并访问控制交易的系统。一旦达到此目的,他们就可以自动回滚机构发行的特定借记卡的ATM交易。在夜间,袭击者在各个城市开车并从其他银行的ATM取款。然而,在发卡银行的系统中,交易自动发生逆转,所以账户余额永远不会改变。
卡巴斯基研究人员表示,他们在属于来自俄罗斯的30家金融机构的计算机上发现了Metel恶意软件。然而,他们认为该组织的活动范围更广,可能会影响来自世界各地的金融机构。
另一个针对银行和金融机构的组织使用名为GCMAN的恶意软件程序,该程序使用带有恶意可执行文件的电子邮件RAR档案,伪装成Microsoft Word文档。
与一些网络间谍活动小组类似,GCMAN攻击者使用合法的系统管理和渗透测试工具,如Putty,VNC和Meterpreter在网络内部横向移动。该组织识别处理金融交易的服务器,并创建cron作业(计划任务),以自动转移到多个电子货币服务,通常在周末。在一个案例中,卡巴斯基研究人员发现了以每分钟200美元的价格发起交易的脚本。
GCMAN集团也因其耐心而脱颖而出。在一起事件中,它从最初的妥协时间开始等了一年半,直到它开始贿赂钱。在此期间,它的成员探测了70台内部主机,损害了56个帐户,并使用了139个不同的IP地址,主要与Tor出口节点和受损家庭路由器相关联。
与Metel一样,卡巴斯基研究人员仅在俄罗斯确定GCMAN受害者,特别是三家金融机构。然而,这个团队的影响很可能超出了这个国家。
第三个团队并不是新的,但它是一个在2015年2月暴露了大约五个月后才沉默的团队。直到那个时候,网络团伙已经使用一个名为Carbanak的定制恶意软件程序从至少30个国家的数百家金融机构窃取数百万美元。
该小组已返回新版恶意软件--Carbanak 2.0,并已开始将预算和会计部门在非金融机构也是这样。
卡巴斯基的研究人员在一篇博客文章中称:“在一个显着的案例中,Carbanak 2.0团伙利用其访问一家存储股东信息的金融机构来改变大公司的所有权细节。 “这些信息被修改为公司股东的名字,并显示他们的ID,他们未来如何使用这些信息还不清楚。”
卡巴斯基实验室发布了所用工具的折中指标所有这三个组织都可以让世界各地的组织都能扫描他们自己的网络以寻求潜在的妥协。
