Η SWIFT, η οργάνωση που υποτίθεται ότι παρέχει στις τράπεζες ένα ασφαλές δίκτυο για την αποστολή και λήψη πληροφοριών για οικονομικές συναλλαγές, απέστειλε μια προειδοποίηση για την επίθεση ενός malware εναντίον άλλης τράπεζας. Πιστεύουν ότι οι πελάτες της αντιμετωπίζουν “μια ιδιαίτερα προσαρμοστική καμπάνια που στοχεύει καταληκτικά τα σημεία πληρωμής των τραπεζών.”
Στην προηγούμενη περίπτωση, στη ληστεία στην κεντρικής τράπεζας του Bangladesh, οι επιτιθέμενοι μπόρεσαν να έχουν έγκυρα διαπιστευτήρια του διαχειριστή κάτι που που τους επέτρεψε να υποβάλουν ψεύτικα μηνύματα SWIFT, και να κρύψουν τα αποδεικτικά στοιχεία για να καλύψουν τα ίχνη των ψεύτικων μηνυμάτων.
“Σε αυτή τη νέα περίπτωση είδαμε ότι χρησιμοποιήθηκε ένα κακόβουλο λογισμικό για να στοχεύσει την εφαρμογή PDF reader που χρησιμοποιείται από τον πελάτη για να διαβάσει τα PDF επιβεβαίωσης πληρωμών”, αναφέρει η εταιρεία.
“Μόλις εγκατασταθεί σε ένα μολυσμένο τοπικό μηχάνημα, το Trojan του PDF reader δημιουργεί ένα εικονίδιο και ένα αρχείο περιγραφής που ταιριάζουν με αυτά του νόμιμου λογισμικού. Όταν ανοιχτεί κάποιο αρχείο PDF που περιέχει μηνύματα επιβεβαίωσης της SWIFT, το Trojan αρχίζει να αλλάζει το PDF αφαιρώντας κάθε ίχνος που δείχνει ότι έχει πειραχτεί.”
Η εταιρεία αναφέρει ότι το κακόβουλο λογισμικό δεν μπορεί να δημιουργήσει νέα ή να τροποποιήσει τα εξερχόμενα μηνύματα, και δεν επηρεάζει το δίκτυο της SWIFT, το λογισμικό διασύνδεσης ή τις παρεχόμενες υπηρεσίες μηνυμάτων.
“Και στις δύο περιπτώσεις, οι επιτιθέμενοι εκμεταλλεύονται τα τρωτά σημεία που υπάρχουν σε περιβάλλοντα έναρξης της μεταφοράς κεφαλαίων των τραπεζών”, πριν αποσταλούν τα μηνύματα μέσω του SWIFT,” τόνισαν.
“Οι επιτιθέμενοι εμφανίζουν σαφώς μια βαθιά και εξειδικευμένη γνώση των ειδικών επιχειρησιακών ελέγχων στο πλαίσιο των στοχευμένων επιθέσεων στις τράπεζες. Γνώσεις που μπορεί να έχουν αποκτηθεί από κακόβουλους insiders (και εννοεί φυσικά κάποιους εκ των έσω, aka προσωπικό της τράπεζας) ή προηγούμενες επιθέσεις στον κυβερνοχώρο, ή ένας συνδυασμός και των δύο”
Η SWIFT δεν προσδιόρισε το θύμα της τελευταίας επίθεσης ούτε ανέφερε αν η επίθεση ήταν τελικά επιτυχής.
Ο Sergei Shevchenko και ο Adrian Nish, δύο ερευνητές της BAE Systems που αναλύουν το κακόβουλο λογισμικό, αποκάλυψαν ότι το χρηματοπιστωτικό ίδρυμα που έχει πληγεί είναι μία εμπορική τράπεζα στο Βιετνάμ.
Με την ανάλυσή τους στο κακόβουλο λογισμικό που χρησιμοποιήθηκε και στις δύο επιθέσεις ανακάλυψαν ότι:
- Το κακόβουλο λογισμικό ήταν custom-made και στις δύο περιπτώσεις.
- Είχαν και τα δύο τις λειτουργίες “file-wipe-out” και “file-delete” που ήταν οι ίδιες ή ελάχιστα τροποποιημένες.
- Το κακόβουλο λογισμικό εμφανίζει τα ίδια μοναδικά χαρακτηριστικά, όπως τα ονόματα mutex, τα κλειδιά κρυπτογράφησης, καθώς και άλλα εργαλεία από ένα μεγαλύτερο σύνολο εργαλείων που περιγράφονται στην προειδοποίηση του US-CERT, TA14-353A. Είναι η προειδοποίηση που περιέγραψε το 2014 την επίθεση εναντίον της Sony Entertainment.
- Περιέχει μερικά ίδια λάθη, και παρουσιάζει στοιχεία που αναπτύχθηκαν στο ίδιο περιβάλλον.
“Τα overlaps μεταξύ αυτών των δειγμάτων παρέχουν ισχυρές συνδέσεις για τον ίδιο κωδικοποιητή που είναι πίσω από τις πρόσφατες υποθέσεις με τη ληστεία της τράπεζας και μια ευρύτερα γνωστή εκστρατεία που πάει πίσω σχεδόν μια δεκαετία.”
“Είναι πιθανό να υπάρχει αυτή η συγκεκριμένη λειτουργία διαγραφής των αρχείων διαγραφής σαν κοινόχρηστος κώδικας, που μοιράζονται πολλοί προγραμματιστές που αναζητούν να επιτύχουν παρόμοια αποτελέσματα. Ωστόσο, έχουμε δει ότι αυτός ο κώδικας δεν είναι δημόσια διαθέσιμος ή δεν περιέχεται σε οποιοδήποτε άλλο λογισμικό με την αναζήτηση σε δεκάδες εκατομμύρια αρχεία. ”
Εν τω μεταξύ, η SWIFT κάλεσε τους πελάτες της να επανεξετάσουν τους ελέγχους στα περιβάλλοντα πληρωμών τους, σε όλα τα μηνύματα, τις πληρωμές τους και τα κανάλια του eBanking που χρησιμοποιούν και, αν έχουν υποστεί επίθεση, να μοιραστούν τις πληροφορίες που έχουν με τη SWIFT και τις αρχές.