Još jedan "SWIFT napad" na banku
Grupa hakera koja je ukrala $81 milion iz Centralne banke Bangladeša izvršila napad na banku na Filipinima
Filipinska banka opljačkana na isti način kao Bangladeška
Symantec je pronašao dokaze da je ista grupa hakera koja je ukrala $81 milion iz Centralne banke Bangladeša i pokušala pljačku $1 miliona iz banke u Vijetnamu takođe izvršila napad na banku na Filipinima. U pitanju je Lazarus grupa. Pronađene su sličnosti u kodu malvera u svim ovim napadima. Prvi napadi zabeleženi su još oktobra 2015. godine, dva meseca pre neuspešnog napada na banku Vijetnama (koji je do sada smatran prvim poznatim incidentom ovog tipa).
Napad na Centralnu banku Bangladeša aktivirao je uzbunu u SWIFT-u, globalnoj mreži za transfer novca, kada je otkriveno da su napadači koristili malver kako bi zataškali dokaze o ilegalnim transferima novca. Iz jedne banke u Vijetnamu saopštili su da su presreli ilegalni transfer novca u vrednosti od $1 milion. Zaključak iz SWIFT-a je da je posredi velika kampanja napada na banke širom sveta. Još jedna banka, ovoga puta iz Ekvadora, pretrpela je gubitke od $12 miliona u ilegalnim SWIFT transakcijama. Za taj slučaj još nema informacija o potencijalnim alatima i malverima koji su korišćeni u napadu, tako da se ne zna da li su napadi povezani sa onima u Aziji.
Otkriće dodatnih alata koje su napadači koristili
Symantec je identifikovao 3 malvera koja su korišćena u napadu na banke u Aziji. U pitanju su Backdoor.Fimlis, Backdoor.Fimlis.B i Backdoor.Contopee. U početku nije bio jasan motiv ovih napada, ali je veza pronađena u zajedničkom kodu koji postoji u Trojan.Banswift (koji je korišćen u napadima u Bangladešu kako bi manipulisao SWIFT transakcijama) i ranim verzijama Backdoor.Contopee. Analizirajuću uzorke Trojan.Banswift malvera, pronađen je jedinstveni kod za brisanje fajlova. Daljom analizom pronađene su nedvosmislene sličnosti sa ranom verzijom Backdoor.Contopee. Sve ovo upućuje na zaključak da iza gore pobrojanih napada stoji ista grupa hakera.
Istorija napada
Backdoor.Contopee je ranije korišćen u napadima koji se vezuju za grupu hakera pod imenom Lazarus. Ova grupa je izvela niz agresivnih napada od 2009. godine, prevashodno ciljajući SAD i Južnu Koreju. Lazarus grupa se takođe vezuje za napade izvedene pomoću izrazito agrsivnog trojanca pod imenom Backdoor.Destover, koji je bio predmet interesovanja FBI-a nakon napada na kompaniju Sony Pictures Entertainment 2014. godine. Zaključak FBI-a je da iza napada stoji vlada Severne Koreje. Lazarus grupa je početkom 2016. bila na meti inicijative pod nazivom „Operacija blokbaster“, u koju su uključene velike kompanije iz oblasti IT bezbednosti koje međusobno dele informacije i resurse kako bi pomogle kompanijama i vladinim organizacijama da se zaštite od pretnji ove grupe.
Neprekidna opasnost
Saznanje da je broj ovih napada porastao upućuje na zaključak da je na delu široka kampanja napada na finansijske institucije u svetu. Iako sada svi znaju kakvu opasnost predstavlja Lazarus grupa, njihov početni uspeh može motivisati druge napadače da probaju nešto slično. Banke i ostale finansijske institucije moraju biti na oprezu.
Zaštita
Proizvodi Symantec-a i Nortona pružaju zaštitu od ovih pretnji i detektuju sledeće:
Antivirus
- Trojan.Banswift
- Trojan.Banswift!gen1
- Backdoor.Contopee
- Backdoor.Fimlis
- Backdoor.Fimlis.B
Izvor: Symantec Conect