Из-за атак на межбанковскую систему SWIFT пострадали более десяти банков

Эксперты оборонной корпорации BAE Systems, а также аналитики компаний Symantec, IssueMakersLab и FireEye продолжают расследовать атаки на международную банковскую систему SWIFT. Ранее, в марте 2016 года, из-за брешей в SWIFT злоумышленникам почти удалось похитить миллиард долларов у центрального банка Бангладеш.

Теперь исследователи сообщают, что жертв было значительно больше, и связывают атаки с группой хакеров Lazarus, — профессиональной командой, которая, в частности, ответственна за взлом компании Sony в 2014 году.

Еще две недели назад эксперты BAE Systems написали в отчете, что анализируя атаки, они обратили внимание на то, что вредоносное ПО, использованное в ходе ограбления центрального банка Бангладеш, связано с атаками на компанию Sony в 2014 году. В конце прошлой недели исследователи Symantec представили собственный отчет, который проливает некоторые подробности на этот момент и подтверждает выводы BAE Systems.

Обе компании пишут, что в файле moutc.exe удалось обнаружить куски кода, хорошо знакомые им с 2014 года. Два года назад,  в ходе атак на компанию Sony, группа Lazarus использовала родственную этой малварь. Исследователи также отмечают, что функция заметания следов, призванная уничтожить все признаки активности вредоноса в зараженной системе, тоже выглядит очень знакомо, пишет xakep.ru.

Специалисты Symantec сумели связать троян Trojan.Banswift, использованный в ходе атаки на центробанк Бангладеш, с малварью Backdoor.Contopee, которая в последние годы часто применялась для атак на финансовые учреждения в странах Юго-восточной Азии, наряду с Backdoor.Fimlis и Backdoor.Fimlis.B. Ранее экспертам уже удалось соотнести код Backdoor.Contopee с другим вредоносом — Backdoor.Destover, который является одним из основных «рабочих инструментов» группы Lazarus. Для тех, кто уже запутался в разнообразии малвари, – ниже есть наглядная иллюстрация.

«Symantec полагает, что характерный код, который содержат все семейства вредоносов, а также тот факт, что Backdoor.Contopee использовался для ограниченных атак, направленных на финансовые учреждения определенного региона, означает, что данные инструменты можно отнести к одной группе», — пишут эксперты в отчете.

 
Сравнение малвари от экспертов IssueMakersLab
swift-bank-attacks

 

Напомню, что деятельность хак-группы Lazarus уже изучали компании Novetta, «Лаборатория Касперского», AlienVault и Symantec. ФБР вообще полагает, что хакеры тесно связаны с Северной Кореей (основываясь на многочисленных атака против Южнокорейских банков, в период с 2011 по 2013 годы).

Между тем межбанковская система SWIFT по-прежнему испытывает не лучшие времена. Две недели назад сообщалось, что помимо центробанка Бангладеш от рук хакеров пострадал эквадорский Banco del Austro, у которого,по данным Reuters, злоумышленники похитили 12,2 миллионов долларов. Также кражи чудом избежал вьетнамский банк Tien Phong, во всяком случае, официальные представители банка сообщали, что успешно отразили атаку.

Теперь эксперты компании FireEye, которые тоже проводят собственное расследование случившегося, сообщают, что были замечены атаки с аналогичным почерком, от которых пострадало еще двенадцать банков в странах Юго-восточной Азии. Более того, представители центробанка Бангладеш теперь подозревают, что одна старая атака 2013 года тоже была частью данной вредоносной кампании.

Ниже можно увидеть подробную схему, составленную исследователем компании IssueMakersLab. На схеме отражены все известные на текущий момент инциденты и детали, известные об атаках на систему SWIFT и веб-сервисы, использующиеся банками для осуществления транзакций.

 

swift-bank-attacks-2

 

Официальные представители SWIFT, очевидно, уже устали приносить извинения и оправдываться из-за небезопасности своей системы. Хотя вначале руководство SWIFT уверенно заявляло, что все проблемы были только на стороне банков, а их вины в случившемся нет, вскоре исследователи указали на тот факт, что проблем с безопасностью у SWIFT предостаточно. В итоге, в минувшую пятницу, 27 мая 2016 года, стало известно, что SWIFT запоздало вводит в работу систему двухфакторной аутентификации для банков и будет запрашивать «больше данных» у своих клиентов. Также сообщается, что появятся некие «дополнительные инструменты» для мониторинга происходящего, и будет произведен «аудит фреймворков».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google Project Zero в 2020 году нашёл 11 эксплуатируемых в атаках 0-day

Команда Google Project Zero собрала статистику уязвимостей за первое полугодие 2020 года. В особенности специалисты обратили внимание сообщества на 0-day, которые злоумышленники используют в реальных атаках.

Внутренняя статистика Google, отражающая ситуацию с эксплуатируемыми 0-day уязвимостями, находится в специальной таблице. Самые ранние записи там датируются 2014 годом, когда исследователи впервые начали фиксировать подобные кибератаки.

Итак, в общей сложности за первое полугодие 2020 года специалисты Google Zero Project выявили 11 уязвимостей нулевого дня, которые киберпреступники использовали в своих кампаниях. Приведём их все ниже.

1. Дыра в Firefox (CVE-2019-17026). Её эксплуатация проходила в связке с другими брешами. Разработчики устранили эту проблему в Firefox 72.0.1.

2. Internet Explorer (CVE-2020-0674). Эта уязвимость фигурировала в атаках правительственной группировки DarkHotel. На устройства жертв устанавливался троян Gh0st. Microsoft пропатчила CVE-2020-0674 с февральским набором Patch Tuesday.

3. Chrome (CVE-2020-6418). Атаки с использованием этой 0-day обнаружила команда Google Threat Analysis Group. Примечательно, что никаких подробностей исследователи не предоставили по сей день. Устранена с выходом Chrome 80.0.3987.122.

4 и 5. Trend Micro OfficeScan (CVE-2020-8467 и CVE-2020-8468). На эти уязвимости сотрудники Trend Micro наткнулись во время внутреннего расследования. Патч доступен здесь.

6 и 7. Firefox (CVE-2020-6819 и CVE-2020-6820). Подробности атак, в которых эксплуатировались эти две бреши, также пока не опубликованы. Эксперты полагают, что они могут быть лишь частью более крупной цепочки эксплойтов. Разработчики разобрались с дырами в Firefox 74.0.1.

8, 9 и 10. CVE-2020-0938, CVE-2020-1020 и CVE-2020-1027 — уязвимости в продуктах Microsoft, о которых техногиганту сообщили исследователи Google TAG. Подробностей на сегодняшний день нет. Патчи доступны здесь, здесь и здесь.

11. Sophos XG Firewall (CVE 2020-12271). Эта проблема безопасности создавала возможность для SQL-инъекции в панели управления фаерволом. С её помощью хакеры пытались распространять программу-вымогатель Ragnarok. Патч доступен по этой ссылке.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru