Эксперты оборонной корпорации BAE Systems, а также аналитики компаний Symantec, IssueMakersLab и FireEye продолжают расследовать атаки на международную банковскую систему SWIFT. Ранее, в марте 2016 года, из-за брешей в SWIFT злоумышленникам почти удалось похитить миллиард долларов у центрального банка Бангладеш.
Теперь исследователи сообщают, что жертв было значительно больше, и связывают атаки с группой хакеров Lazarus, — профессиональной командой, которая, в частности, ответственна за взлом компании Sony в 2014 году.
Еще две недели назад эксперты BAE Systems написали в отчете, что анализируя атаки, они обратили внимание на то, что вредоносное ПО, использованное в ходе ограбления центрального банка Бангладеш, связано с атаками на компанию Sony в 2014 году. В конце прошлой недели исследователи Symantec представили собственный отчет, который проливает некоторые подробности на этот момент и подтверждает выводы BAE Systems.
Обе компании пишут, что в файле moutc.exe удалось обнаружить куски кода, хорошо знакомые им с 2014 года. Два года назад, в ходе атак на компанию Sony, группа Lazarus использовала родственную этой малварь. Исследователи также отмечают, что функция заметания следов, призванная уничтожить все признаки активности вредоноса в зараженной системе, тоже выглядит очень знакомо,
Специалисты Symantec сумели связать троян Trojan.Banswift, использованный в ходе атаки на центробанк Бангладеш, с малварью Backdoor.Contopee, которая в последние годы часто применялась для атак на финансовые учреждения в странах Юго-восточной Азии, наряду с Backdoor.Fimlis и Backdoor.Fimlis.B. Ранее экспертам уже удалось соотнести код Backdoor.Contopee с другим вредоносом — Backdoor.Destover, который является одним из основных «рабочих инструментов» группы Lazarus. Для тех, кто уже запутался в разнообразии малвари, – ниже есть наглядная иллюстрация.
«Symantec полагает, что характерный код, который содержат все семейства вредоносов, а также тот факт, что Backdoor.Contopee использовался для ограниченных атак, направленных на финансовые учреждения определенного региона, означает, что данные инструменты можно отнести к одной группе», — пишут эксперты в отчете.
Сравнение малвари от экспертов IssueMakersLab
Напомню, что деятельность хак-группы Lazarus уже изучали компании Novetta, «Лаборатория Касперского», AlienVault и Symantec. ФБР вообще полагает, что хакеры тесно связаны с Северной Кореей (основываясь на многочисленных атака против Южнокорейских банков, в период с 2011 по 2013 годы).
Между тем межбанковская система SWIFT по-прежнему испытывает не лучшие времена. Две недели назад сообщалось, что помимо центробанка Бангладеш от рук хакеров пострадал эквадорский Banco del Austro, у которого,по данным Reuters, злоумышленники похитили 12,2 миллионов долларов. Также кражи чудом избежал вьетнамский банк Tien Phong, во всяком случае, официальные представители банка сообщали, что успешно отразили атаку.
Теперь эксперты компании FireEye, которые тоже проводят собственное расследование случившегося, сообщают, что были замечены атаки с аналогичным почерком, от которых пострадало еще двенадцать банков в странах Юго-восточной Азии. Более того, представители центробанка Бангладеш теперь подозревают, что одна старая атака 2013 года тоже была частью данной вредоносной кампании.
Ниже можно увидеть подробную схему, составленную исследователем компании IssueMakersLab. На схеме отражены все известные на текущий момент инциденты и детали, известные об атаках на систему SWIFT и веб-сервисы, использующиеся банками для осуществления транзакций.
Официальные представители SWIFT, очевидно, уже устали приносить извинения и оправдываться из-за небезопасности своей системы. Хотя вначале руководство SWIFT уверенно заявляло, что все проблемы были только на стороне банков, а их вины в случившемся нет, вскоре исследователи указали на тот факт, что проблем с безопасностью у SWIFT предостаточно. В итоге, в минувшую пятницу, 27 мая 2016 года, стало известно, что SWIFT запоздало вводит в работу систему двухфакторной аутентификации для банков и будет запрашивать «больше данных» у своих клиентов. Также сообщается, что появятся некие «дополнительные инструменты» для мониторинга происходящего, и будет произведен «аудит фреймворков».
Yandex B2B Tech обновила платформу для разработки SourceCraft, добавив новые ИИ-инструменты для работы с уязвимостями и командной разработки. Обновления уже доступны всем пользователям и ориентированы не только на индивидуальные проекты, но и на работу с крупными корпоративными кодовыми базами.
Главное новшество — усиление блока безопасности. На платформе появился ИИ-агент на базе SourceCraft Code Assistant, который автоматически проверяет код на уязвимости и оформляет найденные проблемы в виде карточек.
В каждой из них ИИ помогает разобраться, насколько риск серьёзный, каким образом уязвимость может быть использована и как её корректно исправить — с примерами безопасного кода. За счёт этого анализ, который раньше мог занимать часы и требовать участия профильных специалистов, теперь укладывается в минуты.
Дополнительно в SourceCraft появился центр контроля уязвимостей с интерактивными дашбордами. Они показывают, какие системы затронуты, какие типы уязвимостей встречаются чаще всего и где сосредоточены зоны повышенного риска. Это упрощает приоритизацию и помогает смотреть на безопасность не фрагментарно, а в масштабе всей разработки.
Обновления затронули и командную работу. ИИ-агент SourceCraft Code Assistant теперь автоматически формирует краткие описания изменений в коде, чтобы разработчикам было проще ориентироваться в правках коллег. Также в платформе появилась возможность фиксировать состав версий ПО и отслеживать их готовность, что делает процесс разработки более прозрачным и упрощает координацию между командами.
В Yandex B2B Tech отмечают, что в крупных организациях с сотнями разработчиков и тысячами репозиториев критически важны прозрачность рисков и управляемость процессов. По словам руководителя платформы SourceCraft Дмитрия Иванова, в дальнейшем платформа будет развиваться в сторону мультиагентных ИИ-помощников, которые смогут учитывать контекст всей компании, помогать командам взаимодействовать друг с другом и показывать руководству, как технические уязвимости влияют на бизнес-процессы.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
