Эксперты оборонной корпорации BAE Systems, а также аналитики компаний Symantec, IssueMakersLab и FireEye продолжают расследовать атаки на международную банковскую систему SWIFT. Ранее, в марте 2016 года, из-за брешей в SWIFT злоумышленникам почти удалось похитить миллиард долларов у центрального банка Бангладеш.
Теперь исследователи сообщают, что жертв было значительно больше, и связывают атаки с группой хакеров Lazarus, — профессиональной командой, которая, в частности, ответственна за взлом компании Sony в 2014 году.
Еще две недели назад эксперты BAE Systems написали в отчете, что анализируя атаки, они обратили внимание на то, что вредоносное ПО, использованное в ходе ограбления центрального банка Бангладеш, связано с атаками на компанию Sony в 2014 году. В конце прошлой недели исследователи Symantec представили собственный отчет, который проливает некоторые подробности на этот момент и подтверждает выводы BAE Systems.
Обе компании пишут, что в файле moutc.exe удалось обнаружить куски кода, хорошо знакомые им с 2014 года. Два года назад, в ходе атак на компанию Sony, группа Lazarus использовала родственную этой малварь. Исследователи также отмечают, что функция заметания следов, призванная уничтожить все признаки активности вредоноса в зараженной системе, тоже выглядит очень знакомо,
Специалисты Symantec сумели связать троян Trojan.Banswift, использованный в ходе атаки на центробанк Бангладеш, с малварью Backdoor.Contopee, которая в последние годы часто применялась для атак на финансовые учреждения в странах Юго-восточной Азии, наряду с Backdoor.Fimlis и Backdoor.Fimlis.B. Ранее экспертам уже удалось соотнести код Backdoor.Contopee с другим вредоносом — Backdoor.Destover, который является одним из основных «рабочих инструментов» группы Lazarus. Для тех, кто уже запутался в разнообразии малвари, – ниже есть наглядная иллюстрация.
«Symantec полагает, что характерный код, который содержат все семейства вредоносов, а также тот факт, что Backdoor.Contopee использовался для ограниченных атак, направленных на финансовые учреждения определенного региона, означает, что данные инструменты можно отнести к одной группе», — пишут эксперты в отчете.
Сравнение малвари от экспертов IssueMakersLab
Напомню, что деятельность хак-группы Lazarus уже изучали компании Novetta, «Лаборатория Касперского», AlienVault и Symantec. ФБР вообще полагает, что хакеры тесно связаны с Северной Кореей (основываясь на многочисленных атака против Южнокорейских банков, в период с 2011 по 2013 годы).
Между тем межбанковская система SWIFT по-прежнему испытывает не лучшие времена. Две недели назад сообщалось, что помимо центробанка Бангладеш от рук хакеров пострадал эквадорский Banco del Austro, у которого,по данным Reuters, злоумышленники похитили 12,2 миллионов долларов. Также кражи чудом избежал вьетнамский банк Tien Phong, во всяком случае, официальные представители банка сообщали, что успешно отразили атаку.
Теперь эксперты компании FireEye, которые тоже проводят собственное расследование случившегося, сообщают, что были замечены атаки с аналогичным почерком, от которых пострадало еще двенадцать банков в странах Юго-восточной Азии. Более того, представители центробанка Бангладеш теперь подозревают, что одна старая атака 2013 года тоже была частью данной вредоносной кампании.
Ниже можно увидеть подробную схему, составленную исследователем компании IssueMakersLab. На схеме отражены все известные на текущий момент инциденты и детали, известные об атаках на систему SWIFT и веб-сервисы, использующиеся банками для осуществления транзакций.
Официальные представители SWIFT, очевидно, уже устали приносить извинения и оправдываться из-за небезопасности своей системы. Хотя вначале руководство SWIFT уверенно заявляло, что все проблемы были только на стороне банков, а их вины в случившемся нет, вскоре исследователи указали на тот факт, что проблем с безопасностью у SWIFT предостаточно. В итоге, в минувшую пятницу, 27 мая 2016 года, стало известно, что SWIFT запоздало вводит в работу систему двухфакторной аутентификации для банков и будет запрашивать «больше данных» у своих клиентов. Также сообщается, что появятся некие «дополнительные инструменты» для мониторинга происходящего, и будет произведен «аудит фреймворков».
Microsoft признала наличие очередных проблем с обновлениями операционной системы Windows. В этот раз, согласно жалобам пользователей, апрельские апдейты ломают VPN-соединения как на клиентских, так и на серверных платформах.
Корпорация описывает новые баги на отдельной странице:
«Работающие на Windows устройства могут столкнуться с разрывами VPN-соединений после установки апрельских обновлений. В настоящее время мы проверяем сообщения пользователей. Дополнительную информацию стоит ждать в ближайшие дни».
Описанные баги затрагивают Windows 11, Windows 10, Windows Server 2008 и более старые версии ОС. Полный список (вместе с корявыми апдейтами) выглядит так:
Напомним, на днях Microsoft открыла исходный код MS-DOS 4.00. Эта версия известна своей непопулярностью среди пользователей, ошибками, требовательностью к оперативной памяти и плохой производительностью.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
