Μια τέταρτη τράπεζα, αυτή τη φορά στις Φιλιππίνες, δέχτηκε επίθεση από τους hackers που έχουν στόχο το σύστημα διατραπεζικών μεταφορών SWIFT.
Ερευνητές ασφαλείας της Symantec αναφέρουν ότι πρόκειται για την ίδια ομάδα που πραγματοποίησε την περίφημη ληστεία των 81 εκατομμυρίων δολαρίων στην κεντρική τράπεζα του Bangladesh τον περασμένο Φεβρουάριο αλλά και μια άλλη επίθεση στις Φιλιππίνες το 2015.
Η ίδια ομάδα hackers είχε κατηγορηθεί επίσης και για την κλοπή 12 εκατομμυρίων δολαρίων από την Τράπεζα του Ισημερινού Banco del Austro SA, στην οποία και πάλι κατάφεραν να παραβιάσουν το σύστημα SWIFT. Οι υποψίες φαίνεται να ευσταθούν, καθώς σε όλα τα προαναφερόμενα hacks, έχει χρησιμοποιηθεί το ίδιο malware, γεγονός που υποδηλώνει ότι πίσω από αυτό είναι η ίδια η ομάδα, σύμφωνα με τη Symantec.
Η Symantec έχει εντοπίσει τρία malware που χρησιμοποιήθηκαν σε περιορισμένες στοχευμένες επιθέσεις εναντίον του χρηματοπιστωτικού κλάδου στη Νοτιοανατολική Ασία: Τα Backdoor.Fimlis, Backdoor.Fimlis.B και Backdoor.Contopee.
Δεν είναι ακόμα σαφή ποια είναι τα κίνητρα πίσω από αυτές τις επιθέσεις, ωστόσο, υπάρχει κοινή κωδικοποίηση στο Trojan.Banswift (που χρησιμοποιήθηκε στην επίθεση της τράπεζας του Bangladesh για να χειραγωγήσουν το σύστημα SWIFT) και στις παραλλαγές του Backdoor.Contopee.
Όλα τα παραπάνω malware χρησιμοποιούν επίσης μια κοινή πρακτική. Διαγράφουν τον κακόβουλο κώδικα για να καλύψουν τις τραπεζικές επιθέσεις και γενικότερα τα ίχνη τους. Η συγκεκριμένη πρακτική ταιριάζει με αυτή που χρησιμοποιήθηκε στις επιθέσεις της Sony Pictures, σύμφωνα με τους ερευνητές της Symnatec.
Η Symantec πιστεύει ότι ο κακόβουλος κώδικας μοιράζεται μεταξύ των malware και το γεγονός ότι το Backdoor.Contopee είχε χρησιμοποιηθεί σε περιορισμένες στοχευμένες επιθέσεις εναντίον χρηματοπιστωτικών ιδρυμάτων της περιοχής, σημαίνει ότι τα εργαλεία αυτά μπορούν να αποδοθούν στην ίδια hacking ομάδα.
Το Backdoor.Contopee έχει χρησιμοποιηθεί στο παρελθόν από επιτιθέμενους που σχετίζεται με μια ομάδα γνωστή ως Lazarus. Η ομάδα Lazarus έχει συνδεθεί με μια σειρά από επιθέσεις το 2009, που επικεντρωνόταν σε μεγάλο βαθμό σε στόχους στις ΗΠΑ και τη Νότια Κορέα. Η ομάδα συνδέθηκε με το Backdoor.Destover, ένα ιδιαίτερα καταστροφικό Trojan που μάλιστα έκανε το FBI να εκδώσει προειδοποίηση μετά τη χρήση του σε μια επίθεση εναντίον της Sony Pictures Entertainment. Το FBI τότε κατέληξε στο συμπέρασμα ότι η κυβέρνηση της Βόρειας Κορέας ήταν υπεύθυνη για αυτή την επίθεση.
Πόσο βαθιά είναι η τρύπα του κουνελιού;
Υπάρχουν ενδείξεις ότι οι επιθέσεις στο SWIFT (Society for Worldwide Interbank Financial Telecom) άρχισαν ήδη από τον Οκτώμβριο του 2015, με την τράπεζα στις Φιλιππίνες να είναι το πρώτο θύμα, δύο μήνες πριν από την ανακάλυψη της αποτυχημένης επίθεσης στη Tien Phong Bank στο Vietnam.
Μερικά από τα εργαλεία που χρησιμοποιήθηκαν κατά της τράπεζας των Φιλιππίνων, έχουν πάρα πολλές ομοιότητες στον κώδικα με το κακόβουλο λογισμικό που χρησιμοποιήθηκε από την Lazarus, την ομάδα πίσω από την παραβίαση της Sony Pictures. Η κυβέρνηση των ΗΠΑ έχει κατηγορήσει επανειλημμένα τη Βόρεια Κορέα για το hack στην Sony Pictures το Νοέμβριο του 2014.
Τα ευρήματα της Symantec δείχνουν για άλλη μια φορά προς τη Βόρεια Κορέα.