在過去的幾年裡,攻擊者越來越傾向於從數字支付網絡中竊取現金,到目前為止已經成功竊取了數億美元。這一問題不僅很難控制,現在還雪上加霜,新發現表明新型ATM惡意軟件正在崛起。
新加坡卡巴斯基安全分析師峰會的研究人員週三發表了關於新一輪支付系統詐騙的調查結果。除了所謂的累積獎金攻擊,黑客正在操縱ATM網絡和機器中的數字身份驗證檢查,以在全球發起攻擊竊取資金。
近年來,黑客已經涉足各種金融平臺——包括墨西哥的國內轉賬系統SPEI。但大多數詐騙都是針對國際支付網絡SWIFT,該網絡每天流轉金額高達數萬億美元。眾多臭名昭著的數字銀行搶劫案,如孟加拉國銀行在2016年被盜8100萬美元以及智利在去年被盜1000萬美元,已經顯示出數字支付網絡的脆弱性。
但是攻擊者現在正在人們意想不到的地方進行相同的操作,如ATM網絡,以便規避新的防禦系統。
SWIFT服務本質上是大規模的消息傳遞系統,可自動檢查和處理個人或實體與其金融機構之間的交易。SWIFT長期堅持,儘管類似攻擊越來越多,但攻擊者並未觸及其核心基礎設施,問題的根源在於當地銀行網絡的弱點。儘管如此,該組織仍在大力投資開發安全機制,並對與SWIFT進行互相操作的第三方金融網絡進行必要的控制。
這些系統架構改進,以及研究人員對此的重視都激發了攻擊者不斷進行創新。在去年8月攻擊印度的Cosmos銀行時,黑客通過惡意軟件感染銀行的ATM服務器竊取了1350萬美元,該惡意軟件可以檢索客戶信息及其SWIFT代碼。然後,他們利用這些數據在全球範圍內進行了數千次轉賬。
BAE Systems的威脅情報分析師 Saher Naumaan表示,攻擊者已投入大量資金開發更多的植入物、惡意軟件以及更多的入侵方法。他們對應用程序和協議進行了大量研究,因此他們對這些內部系統非常瞭解,所以他們能夠操縱銀行系統中的很多部分。
這些新的ATM攻擊與累積獎金的不同之處在於,黑客進行轉賬交易並授權提款,或冒充賬戶持有人提取資金。具體來說,攻擊者基本上接管了“核准清單”,因此有權從該賬戶中提取現金。
多年來,數字銀行搶劫案中最引人注目的似乎是朝鮮支持的黑客組織 Lazarus。許多一直在跟蹤數字銀行欺詐以及用於犯罪的惡意軟件的威脅情報公司都發現了這個臭名昭著的團伙的行蹤。Naumaan表示,新一代ATM網絡攻擊中也存在類似的潛在聯繫。
在調查過程中,BAE系統分析師注意到他們正在研究的受害者網絡感染了被稱為GraceWire的惡意軟件和已知的Lazarus惡意軟件工具。研究人員還發現GraceWire與一個著名的經濟犯罪團伙TA505之間可能存在聯繫。儘管研究人員表示現在就這些證據得出明確的結論還為時過早,但Lazarus可能已與TA505或其他團體進行合作以竊取資金。有一種理論認為TA505攻擊網絡並獲得初始訪問權,然後將這種訪問權交給Lazarus。
隨著全球銀行業不斷提升其網絡防禦,攻擊者將開發新技術來進行攻擊。例如,2017年,Lazarus組織攻擊了一家臺灣銀行並從中竊取現金,同時他們在銀行的網絡中埋下了勒索軟件。研究人員推測,攻擊者可能會越來越依賴分散注意力和隱藏其執行攻擊意圖的其他方法。
本文作者:Gump,轉載自:http://www.mottoin.com/detail/3859.html
閱讀更多 A1d2m3i4n5 的文章
