共享恶意软件代码链接银行和朝鲜黑客的Swift相关的违规行为
恶意软件链接表明,朝鲜黑客可能落后于最近对几家亚洲银行的攻击,包括今年早些时候从孟加拉国中央银行盗窃8100万美元。
来自Symantec的安全研究人员已经发现了证据表明孟加拉国银行网络手中使用的恶意软件用于针对菲律宾未命名的银行的目标攻击。此前,同样的恶意软件也与越南天坪岸银行的盗窃企图盗窃联系在一起。
赛门铁克确认了来自BAE系统的研究人员的先前发现,孟加拉国银行恶意软件之间的代码相似之处,用于修改SWIFT转移,以及2014年12月对索尼图片娱乐的攻击中使用的恶意计划。
美国政府将索尼袭击归因于朝鲜。联邦调查局主任詹姆斯·霍迪说,去年他在这种归因中遇到了“非常高的信心”,尽管朝鲜政府的否认和一些安全研究人员的怀疑。
索尼攻击背后的黑客集团在计算机安全行业中称为拉撒路,自2009年以来一直活跃,主要针对美国和韩国的组织。组“S”工具集中的恶意软件程序之一被称为BackDoor.contopee。
“赛门铁克已确定三条恶意软件,这些恶意软件正在有限的目标攻击中,针对东南亚金融业:backdoor.fimlis,backdoor.fimlis.b和backdoor.contopee,“赛门铁克研究人员在博客帖子中表示。
后门程序提供未经授权访问计算机的访问,但它们的存在不会揭示攻击者的最终目标。然而,研究人员表示,当在特洛伊木马攻击中使用类似的代码时,当在孟加拉国攻击中使用的类似代码时,所针对性攻击的动机变得更加清晰。
主链接是使用唯一例程擦除文件的代码的一部分。它是由特洛伊木马和后门和后门共享的。
在其他恶意软件程序中尚未找到文件擦除代码,并且Lazarus在针对该地区的银行的目标攻击中使用了后门.Contopee。这些连接导致赛门铁克的研究人员相信特洛伊木马.BANSWIFT也是由同一组创建的。
“更多袭击的发现提供了进一步的证据表明,所涉及的集团正在对该地区的金融目标进行广泛的竞选活动,”赛门铁克研究人员表示。
该公告是在彭博会报告之后,从东南亚的十几家银行聘请了安全公司Fireeye来调查其网络上潜在的安全漏洞和迅速违规行为。