بدافزار مورد استفاده مهاجمان SWIFT و حملات مالی دیگر

نوشته شده در تاریخ توسط published

شرکت Symantec مدارکی یافته است که نشان می‌‌دهد بانکی در فیلیپین نیز مورد حمله‎ی همان گروهی قرار گرفته که ۸۱ میلیون دلار از بانک مرکزی بنگلادش به سرقت برد و سعی کرد که ۱ میلیون دلار نیز از بانک Tien Phong در ویتنام نیز به سرقت ببرد.
بدافزار مورد استفاده توسط این گروه در حملات هدف‌داری علیه بانکی در فیلیپین نیز به کار رفته‌ است. علاوه بر این، ابزارهای مورد استفاده در این حمله، شباهت‌هایی با بدافزاری دارند که قبلاً در حملاتی توسط گروهی به نام Lazarus مورد استفاده قرار می‌گرفته‌اند. این حملات به اکتبر سال ۲۰۱۵، دو ماه پیش از کشف حمله‌ ناموفقی در ویتنام باز می‌گردد و تا اکنون اولین حادثه شناخته شده می‌باشد.
پس از اینکه مشخص شد مهاجمان از بدافزاری برای سرپوش نهادن بر انتقالات جعلیشان استفاده می‌کنند، حمله علیه بانک مرکزی بنگلادش هشداری را توسط شبکه پرداختی SWIFT راه اندازی کرد. SWIFT طی اطلاعیه‌ای گفت مدرکی یافته است که نشان می‌دهد از این بدافزار علیه بانک دیگری، به همان روش استفاده شده است. بانک Tien Phong ویتنام متعاقباً اعلام کرد که از یک کلاهبرداری ۱ میلیون دلاری در سه ماه اخر سال جلوگیری کرده است. SWIFT به این نتیجه رسید که دومین حمله نشان می‌دهد که عملیات تطبیقی گسترده‌تری علیه بانک‌ها در حال انجام است.
بانک دیگری به اسم Bonco del Austro در اکوادور نیز گزارش داد که مهاجمانی با استفاده از تراکنش‌های جعلی SWIFT، ۱۲ میلیون دلار به سرقت برده‎اند. البته هنوز اطلاعاتی راجع به ابزار مورد استفاده در این حادثه به دست نیامده و مشخص نیست که آیا این حمله به حملات دیگر در آسیا مرتبط است یا خیر.

کشف دیگر ابزارهای مورد استفاده توسط مهاجمان
شرکت Symantec سه بدافزار شناسایی کرده است که در حملات هدف‌دار محدود علیه موسسه‌های مالی در جنوب شرقی آسیا مورد استفاده قرار گرفته‌اند: درب پشتی Fimlis، درب پشتی Fimlis B و درب پشتی Contopee. در ابتدا، انگیزه‌ی پشت این حملات مشخص نبود، اما اشتراک بین بدافزار Banswift (مورد استفاده در حمله بنگلادش برای دستکاری کردن تراکنش‌های SWIFT) و نسخه‌ی جدید درب پشتی Contopee خبر از یک رابطه می‌دهد.
در حالی که با بررسی نمونه‌های بدافزار Banswift، یک یک کد پاک‌کننده پرونده پیدا شد. برخی از ویژگی‌های برجسته‌ی این از بین‎برنده‌ی پرونده شامل موارد زیر می‌باشد:
– دستور العمل شامل دو پارامتر است: مسیر پرونده برای جایگزینی و تعداد تکرارها (حداکثر ۶ بار)
– آخرین بایت پرونده‎های هدف را با ۰x۵F جایگزین می‌کند.
– شش بایت کنترل لازم است که مشخص می‌کند چه بایتی طی فرایند جایگزین کردن باید استفاده شود.

در حال حاضر این کد واقعاً منحصربه‎فرد به نظر می‌رسد. چیزی که حتی در این مورد جالب‌تر به نظر می‌رسد این است که هنگام جستجوی بدافزارهای دیگری که حاوی ترکیب دقیقی از بایت‌های کنترل می‌باشند، درب پشتی Contopee و نمونه msoutc.exe پیدا شدند که به تازگی در وب‌گاه BAE که در حال بررسی حمله بنگلادش می‌باشد، مورد بحث قرار گرفته است.
شرکت Symantec معتقد است که کد مشخص به اشتراک گذاشته شده بین خانواده‌های بدافزاری و این حقیقت که درب پشتی Contopee در حملات هدف‎دار محدود علیه موسسه‌های مالی در منطقه استفاده شده است، به این معناست که این ابزارها می‌توانند به همان گروه مربوط شود.
حملات قدیمی
درب پشتی Contopee قبلاً توسط مهاجمانی استفاده شده است که با یک گروه خطرناک بزرگ به نام Lazarus کار می‌کردند. Lazarus سلسله عملیات متجاوزانه‌ای را از سال ۲۰۱۲ آغاز کرد که عمدتاً روی آمریکا و کره‌جنوبی تمرکز کرده بود. این گروه به درب پشتی Destover که یک بدافزار به شدت مخرب است نیز مربوط می‌شود. پس از اینکه از این بدافزار در حمله‌ تصاویر سونی استفاده شد، FBI آن را تحت پیگری قرار داد. در پایان FBI به این نتیجه رسید که کره شمالی مسئول این حملات است.
این گروه اوایل امسال، هدف یک عملیات به نام عملیات Blockbuster قرار گرفت، که شامل شرکت‌های بزرگ امنیتی است که به منظور کمک به سازمان‌های دولتی و بازرگانی برای مقابله با Lazarus، منابع و اطلاعاتی را به اشتراک می‌گذارند. به عنوان بخشی از این ابتکار، شرکت‌ها امضاهای بدافزاری و دیگر اطلاعات مفید مربوط به این حملات را دست به دست می‌کنند.
خطرات پیش رو
کشف حملات بیشتر، نشان می‌دهد که این گروه در حال اجرای عملیات گسترده‌ای علیه هدف‌های مالی در منطقه است. در حالی که آگاهی از خطر این گروه اکنون افزایش یافته است، اما موفقیت اولیه این گروه، گروه‌های دیگر را نیز به تشویق به انجام چنین حملاتی کرده است. بانک‌ها و موسسه‌های مالی دیگر باید کاملا هوشیار باشند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.