朝鲜黑客船员中的犯罪嫌疑人
最近对Banco de Chile的网络攻击导致了1000万美元的盗窃,这符合对中小型金融机构的持续攻击模式。
安全研究人员同意,自2016年左右以来,银行一直是针对恶意软件驱动的网络先驱者的目标,但它们与可能的罪魁祸首有些不一致。
朝鲜州黑客官员是主要嫌疑人之一,尽管俄罗斯的网络犯罪分子也被视为最新抢劫的可能罪犯。
根据威胁英特尔公司FlashPoint的说法,五月的Banco de Chile攻击中使用的刮水器恶意软件击中了多达9,000个工作站和500台服务器,类似于Thrint Intel FlashPoint,类似于针对多个俄罗斯金融机构使用的Buhtrap恶意软件。
Buhtrap恶意软件及其组件(包括MBR Killer)造成了9700万损失(123万美元),并迫使一家银行与俄罗斯电子支付系统断开连接。
MBR杀手组件于2016年2月泄漏到地下添加了FlashPoint。
Flashpoint的研究人员对5月24日对智利最大金融机构的攻击进行了反向设计,然后得出结论,恶意代码是MBR Killer的修改版本,该版本使本地操作系统和Master Boot Record不可行。
烟幕
然而,据报道,刮水器恶意软件只是对端点进行更深入的攻击,以处理敏感交易和有关SWIFT(全球银行间财务电信协会)网络的敏感交易和消息传递。
Banco de Chile总经理Eduardo Ebensperger表示,该黑客影响了分支机构服务和电话银行以及银行的内部网络。
银行随后道歉由于持续了几天的客户服务的中断,因为被盗的1000万美元通过了香港的实体,这可能只是通往其最终目的地的路点。
智利的袭击发生在一月份事件发生后不久,影响了墨西哥的几家银行,造成了约1540万美元的损失。银行正在使用Sistema de PagosElectrónicosInterBancarios(SPEI)间银行转移系统。
Flashpoint表示,这与针对墨西哥金融机构的另一场恶意软件攻击是分开的,可能归因于朝鲜。
Flashpoint表示,“尽管联邦调查局将攻击与朝鲜恶意软件相关联,但“无法分析针对墨西哥金融机构的恶意软件”。
墨西哥金融出版物El Financiero将一月份袭击的罪魁祸首称为“ Fallchill” - 朝鲜远程政府工具(RAT)。
Flashpoint得出结论:“目前,对墨西哥银行机构的攻击与对Banco de Chile的攻击之间似乎没有联系,因为威胁参与者使用的策略,技术和程序(TTP)不同。”
“在这两种情况下,智利中使用的恶意代码与2016年泄漏的代码之间的相似之处在于下面使用相同的NSIS脚本。NSIS或NullSoft脚本安装系统是用于构建Windows安装程序的开源系统。”
趋势微观计算涉及智利五月攻击的雨刮器变体与Flashpoint的建议相反 - 与挫败的抢劫案有关墨西哥在一月。
根据Trend Micro的说法,黑客将Killdisk刮水器恶意软件的一种变体用作烟幕,然后才能针对与Swift银行间转移网络相关的系统。
Flash崩溃
Swift网络用于金融机构之间的安全通信和汇款。
纽约联邦储备银行孟加拉国中央银行帐户中的8100万美元盗窃被归咎于Swift的Alliance Access软件。
不久之后,第二个显然是相关的,袭击了越南的一家商业银行。两者都使用恶意软件在删除日志时未经授权的Swift货币传输消息。
未命名的商业银行菲律宾乌克兰针对后续攻击。2015年初,在厄瓜多尔对厄瓜多尔的Banco del Austro进行了抢劫,这与同样的攻击有着回顾性的联系。
Swift正在主动试图通过发布来帮助其客户通过出版最佳练习指南,除其他形式的建议外。
西方情报机构(例如NSA和GCHQ)以及私人网络安全公司,指责北朝鲜州的要素因抢劫孟加拉国中央银行持有的资金以及对银行的后续攻击,2014年对索尼的袭击而进行了后续攻击图片和长期成长的说唱表上的图片和更多图片。
归因基于使用相同特定的恶意软件菌株,攻击控制基础架构和其他策略的使用。
所谓的拉撒路集团(又名隐藏的眼镜蛇据位于莫斯科的集团-IB说,)由朝鲜情报机构侦察将军局的一个部门控制。
