近期,孟加拉国、厄瓜多尔、越南、菲律宾等多个国家的银行陆续曝出曾经遭遇黑客攻击并试图窃取金钱事件,这些事件中黑客都瞄准了SWIFT银行间转账系统,对相关银行实施攻击和窃取。追日团队深入分析了截获的黑客攻击越南先锋银行所使用的恶意代码样本,并由此对此次事件中的黑客攻击技术进行了初步探索。
一、概述
随着孟加拉国央行被黑客攻击导致万美元被窃取的事件逐渐升温,针对银行SWIFT系统的其他网络攻击事件逐一被公开,具体如下表所示:
表1针对银行攻击事件汇总
通过对相关恶意代码和攻击手法的研究,以及其他安全厂商的研究结论,追日团队推测针对孟加拉国央行和越南先锋银行发起攻击的幕后组织或许是同一个组织,该组织可能是OperationBlockbuster所揭秘披露的Lazarus组织,中国相关机构也是该组织主要攻击目标之一。
本报告主要就越南先锋银行的相关攻击事件、样本展开深入分析,暂不深入关联孟加拉国央行被攻击事件和Lazarus组织,对相关事件或组织之间的关联归属分析等,我们在之后的关联分析报告中会有详细的介绍。
关于Lazarus黑客组织
年2月25日,Lazarus黑客组织以及相关攻击行动由卡巴斯基实验室、AlienVault实验室和Novetta等安全企业协作分析并揭露。年针对韩国金融机构和媒体公司的DarkSeoul攻击行动和年针对索尼影视娱乐公司(SonyPicturesEntertainment,SPE)攻击的幕后组织都是Lazarus组织。
表2Lazarus组织历史活动相关重大事件节点
?
二、关于SWIFT
SWIFT全称是SocietyforWorldwideInterbankFinancialTele