شرکت Symantec مدارکی یافته است که نشان میدهد بانکی در فیلیپین نیز مورد حملهی همان گروهی قرار گرفته که ۸۱ میلیون دلار از بانک مرکزی بنگلادش به سرقت برد و سعی کرد که ۱ میلیون دلار نیز از بانک Tien Phong در ویتنام نیز به سرقت ببرد.
بدافزار مورد استفاده توسط این گروه در حملات هدفداری علیه بانکی در فیلیپین نیز به کار رفته است. علاوه بر این، ابزارهای مورد استفاده در این حمله، شباهتهایی با بدافزاری دارند که قبلاً در حملاتی توسط گروهی به نام Lazarus مورد استفاده قرار میگرفتهاند. این حملات به اکتبر سال ۲۰۱۵، دو ماه پیش از کشف حمله ناموفقی در ویتنام باز میگردد و تا اکنون اولین حادثه شناخته شده میباشد.
پس از اینکه مشخص شد مهاجمان از بدافزاری برای سرپوش نهادن بر انتقالات جعلیشان استفاده میکنند، حمله علیه بانک مرکزی بنگلادش هشداری را توسط شبکه پرداختی SWIFT راه اندازی کرد. SWIFT طی اطلاعیهای گفت مدرکی یافته است که نشان میدهد از این بدافزار علیه بانک دیگری، به همان روش استفاده شده است. بانک Tien Phong ویتنام متعاقباً اعلام کرد که از یک کلاهبرداری ۱ میلیون دلاری در سه ماه اخر سال جلوگیری کرده است. SWIFT به این نتیجه رسید که دومین حمله نشان میدهد که عملیات تطبیقی گستردهتری علیه بانکها در حال انجام است.
بانک دیگری به اسم Bonco del Austro در اکوادور نیز گزارش داد که مهاجمانی با استفاده از تراکنشهای جعلی SWIFT، ۱۲ میلیون دلار به سرقت بردهاند. البته هنوز اطلاعاتی راجع به ابزار مورد استفاده در این حادثه به دست نیامده و مشخص نیست که آیا این حمله به حملات دیگر در آسیا مرتبط است یا خیر.
کشف دیگر ابزارهای مورد استفاده توسط مهاجمان
شرکت Symantec سه بدافزار شناسایی کرده است که در حملات هدفدار محدود علیه موسسههای مالی در جنوب شرقی آسیا مورد استفاده قرار گرفتهاند: درب پشتی Fimlis، درب پشتی Fimlis B و درب پشتی Contopee. در ابتدا، انگیزهی پشت این حملات مشخص نبود، اما اشتراک بین بدافزار Banswift (مورد استفاده در حمله بنگلادش برای دستکاری کردن تراکنشهای SWIFT) و نسخهی جدید درب پشتی Contopee خبر از یک رابطه میدهد.
در حالی که با بررسی نمونههای بدافزار Banswift، یک یک کد پاککننده پرونده پیدا شد. برخی از ویژگیهای برجستهی این از بینبرندهی پرونده شامل موارد زیر میباشد:
– دستور العمل شامل دو پارامتر است: مسیر پرونده برای جایگزینی و تعداد تکرارها (حداکثر ۶ بار)
– آخرین بایت پروندههای هدف را با ۰x۵F جایگزین میکند.
– شش بایت کنترل لازم است که مشخص میکند چه بایتی طی فرایند جایگزین کردن باید استفاده شود.
در حال حاضر این کد واقعاً منحصربهفرد به نظر میرسد. چیزی که حتی در این مورد جالبتر به نظر میرسد این است که هنگام جستجوی بدافزارهای دیگری که حاوی ترکیب دقیقی از بایتهای کنترل میباشند، درب پشتی Contopee و نمونه msoutc.exe پیدا شدند که به تازگی در وبگاه BAE که در حال بررسی حمله بنگلادش میباشد، مورد بحث قرار گرفته است.
شرکت Symantec معتقد است که کد مشخص به اشتراک گذاشته شده بین خانوادههای بدافزاری و این حقیقت که درب پشتی Contopee در حملات هدفدار محدود علیه موسسههای مالی در منطقه استفاده شده است، به این معناست که این ابزارها میتوانند به همان گروه مربوط شود.
حملات قدیمی
درب پشتی Contopee قبلاً توسط مهاجمانی استفاده شده است که با یک گروه خطرناک بزرگ به نام Lazarus کار میکردند. Lazarus سلسله عملیات متجاوزانهای را از سال ۲۰۱۲ آغاز کرد که عمدتاً روی آمریکا و کرهجنوبی تمرکز کرده بود. این گروه به درب پشتی Destover که یک بدافزار به شدت مخرب است نیز مربوط میشود. پس از اینکه از این بدافزار در حمله تصاویر سونی استفاده شد، FBI آن را تحت پیگری قرار داد. در پایان FBI به این نتیجه رسید که کره شمالی مسئول این حملات است.
این گروه اوایل امسال، هدف یک عملیات به نام عملیات Blockbuster قرار گرفت، که شامل شرکتهای بزرگ امنیتی است که به منظور کمک به سازمانهای دولتی و بازرگانی برای مقابله با Lazarus، منابع و اطلاعاتی را به اشتراک میگذارند. به عنوان بخشی از این ابتکار، شرکتها امضاهای بدافزاری و دیگر اطلاعات مفید مربوط به این حملات را دست به دست میکنند.
خطرات پیش رو
کشف حملات بیشتر، نشان میدهد که این گروه در حال اجرای عملیات گستردهای علیه هدفهای مالی در منطقه است. در حالی که آگاهی از خطر این گروه اکنون افزایش یافته است، اما موفقیت اولیه این گروه، گروههای دیگر را نیز به تشویق به انجام چنین حملاتی کرده است. بانکها و موسسههای مالی دیگر باید کاملا هوشیار باشند.
منبع: asis
درباره نماد امنیت وب
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.