在过去的几年里,攻击者越来越倾向于从数字支付网络中窃取现金,到目前为止已经成功窃取了数亿美元。这一问题不仅很难控制,现在还雪上加霜,新发现表明新型ATM恶意软件正在崛起。
新加坡卡巴斯基安全分析师峰会的研究人员周三发表了关于新一轮支付系统诈骗的调查结果。除了所谓的累积奖金攻击,黑客正在操纵ATM网络和机器中的数字身份验证检查,以在全球发起攻击窃取资金。
近年来,黑客已经涉足各种金融平台——包括墨西哥的国内转账系统SPEI。但大多数诈骗都是针对国际支付网络SWIFT,该网络每天流转金额高达数万亿美元。众多臭名昭著的数字银行抢劫案,如孟加拉国银行在2016年被盗8100万美元以及智利在去年被盗1000万美元,已经显示出数字支付网络的脆弱性。
但是攻击者现在正在人们意想不到的地方进行相同的操作,如ATM网络,以便规避新的防御系统。
SWIFT服务本质上是大规模的消息传递系统,可自动检查和处理个人或实体与其金融机构之间的交易。SWIFT长期坚持,尽管类似攻击越来越多,但攻击者并未触及其核心基础设施,问题的根源在于当地银行网络的弱点。尽管如此,该组织仍在大力投资开发安全机制,并对与SWIFT进行互相操作的第三方金融网络进行必要的控制。
这些系统架构改进,以及研究人员对此的重视都激发了攻击者不断进行创新。在去年8月攻击印度的Cosmos银行时,黑客通过恶意软件感染银行的ATM服务器窃取了1350万美元,该恶意软件可以检索客户信息及其SWIFT代码。然后,他们利用这些数据在全球范围内进行了数千次转账。
BAE Systems的威胁情报分析师 Saher Naumaan表示,攻击者已投入大量资金开发更多的植入物、恶意软件以及更多的入侵方法。他们对应用程序和协议进行了大量研究,因此他们对这些内部系统非常了解,所以他们能够操纵银行系统中的很多部分。
这些新的ATM攻击与累积奖金的不同之处在于,黑客进行转账交易并授权提款,或冒充账户持有人提取资金。具体来说,攻击者基本上接管了“核准清单”,因此有权从该账户中提取现金。
多年来,数字银行抢劫案中最引人注目的似乎是朝鲜支持的黑客组织 Lazarus。许多一直在跟踪数字银行欺诈以及用于犯罪的恶意软件的威胁情报公司都发现了这个臭名昭著的团伙的行踪。Naumaan表示,新一代ATM网络攻击中也存在类似的潜在联系。
在调查过程中,BAE系统分析师注意到他们正在研究的受害者网络感染了被称为GraceWire的恶意软件和已知的Lazarus恶意软件工具。研究人员还发现GraceWire与一个著名的经济犯罪团伙TA505之间可能存在联系。尽管研究人员表示现在就这些证据得出明确的结论还为时过早,但Lazarus可能已与TA505或其他团体进行合作以窃取资金。有一种理论认为TA505攻击网络并获得初始访问权,然后将这种访问权交给Lazarus。
随着全球银行业不断提升其网络防御,攻击者将开发新技术来进行攻击。例如,2017年,Lazarus组织攻击了一家台湾银行并从中窃取现金,同时他们在银行的网络中埋下了勒索软件。研究人员推测,攻击者可能会越来越依赖分散注意力和隐藏其执行攻击意图的其他方法。
本文作者:Gump,转载自:http://www.mottoin.com/detail/3859.html
閱讀更多 A1d2m3i4n5 的文章
