孟加拉国银行攻击者使用劫持Swift软件的自定义恶意软件
从孟加拉国的中央银行偷走了8100万美元的黑客可能使用自定义恶意软件,旨在干扰许多金融机构使用的SWIFT交易软件。
攻击者试图在2月份在纽约美联储银行的孟加拉国银行账户中转移9.51亿美元,但大多数转移在完成之前被封锁。袭击者确实设法将8100万美元的账户发送到菲律宾,并且仍然缺少金钱。
BAE系统的研究人员最近遇到了几种恶意软件组件,他们认为是可能在赫斯特中使用的自定义攻击工具包的一部分。
示例由孟加拉国的某人上传到在线恶意软件存储库,它们旨在监视,删除和更改Swift客户端软件使用的数据库中的交易记录。
基于布鲁塞尔的SWIFT或全球间银行间金融电信协会,是一项由数千名金融机构拥有的合作社,这些机构拥有世界上最大的安全金融消息网络。
BAE研究人员在星期一的博客文章中说,其中一个恶意软件组件绕过了一个验证检查的验证检查,该库在Oracle数据库中存储了Oracle数据库中的交易记录。
然后,Rogue程序监控在加密配置文件中定义的字符串的Swift Financial应用程序消息。当它检测到匹配项时,它标识相应的数据库条目并删除它。
恶意软件还显示应用程序中的登录和注销事件,并在检测到它们时通知命令和控制服务器。
最后,该程序可以操纵确认SWIFT消息,这些消息将由银行系统自动打印出来。BAE研究人员说,改变数据库记录不足以隐藏欺诈性交易,因为这些印刷的确认消息可能会攻击攻击。
关于孟加拉国银行赫斯特的众多未知数,例如谁在它背后,他们首先进入银行网络,以及他们如何启动流氓转移。但是,此自定义恶意软件工具包的存在应作为其他金融机构的警告。
“这个恶意软件是写过攻击特定受害者基础设施的定制,但攻击中使用的一般工具,技术和程序可能让帮派再次罢工,”鲍特研究人员说。“运行Swift联盟访问和类似系统的所有金融机构都应该严重审查他们的安全性,以确保它们也没有暴露。”
Swift意识到恶意软件存在。但是,该组织在一封电子邮件声明中表示,该计划不会影响Swift“的网络或核心消息服务。
“我们了解,恶意软件旨在隐藏客户的本地数据库应用程序的欺诈性支付迹线,只能在用户的本地系统上安装,攻击者已成功确定和利用当地安全性的缺点,”Swift表示。
“我们制定了一个设施,以帮助客户加强其安全性并在本地数据库记录中发现不一致,”组织添加。“但是,对用户的关键防御仍有用于用户在当地环境中实施适当的安全措施,以保护其系统 - 特别是那些用于访问此类潜在安全威胁的人。”
根据调查员,为孟加拉国央行袭击成功的一个因素是银行迅速系统与其余网络之间缺乏适当的细分。路透社周五报道,Swift连接的计算机通过便宜的交换机与网络连接到网络,没有管理能力,缺乏防火墙。