بدافزار مورداستفاده مهاجمان SWIFT

به گزارش واحد متخصصین سایبربان؛ شرکت Symantec مدارکی یافته است که نشان می‌‌دهد بانکی در فیلیپین نیز موردحمله‌ی همان گروهی قرارگرفته که ۸۱ میلیون دلار از بانک مرکزی بنگلادش به سرقت برد و سعی کرد که ۱ میلیون دلار نیز از بانک Tien Phong در ویتنام نیز به سرقت ببرد.

بدافزار مورداستفاده توسط این گروه در حملات هدف‌داری علیه بانکی در فیلیپین نیز به‌کاررفته‌ است. علاوه بر این، ابزارهای مورداستفاده در این حمله، شباهت‌هایی با بدافزاری دارند که قبلاً در حملاتی توسط گروهی به نام Lazarus مورداستفاده قرار می‌گرفته‌اند. این حملات به اکتبر سال ۲۰۱۵، دو ماه پیش از کشف حمله‌ ناموفقی در ویتنام بازمی‌گردد و تا اکنون اولین حادثه شناخته‌شده است.

پس‌ازاینکه مشخص شد مهاجمان از بدافزاری برای سرپوش نهادن بر انتقالات جعلی‌شان استفاده می‌کنند، حمله علیه بانک مرکزی بنگلادش  هشداری را توسط شبکه پرداختی SWIFT راه‌اندازی کرد. SWIFT طی اطلاعیه‌ای گفت مدرکی یافته است که نشان می‌دهد از این بدافزار علیه بانک دیگری، به همان روش استفاده‌شده است. بانک Tien Phong ویتنام متعاقباً اعلام کرد که از یک کلاه‌برداری ۱ میلیون دلاری در سه ماه آخر سال جلوگیری کرده است. SWIFT به این نتیجه رسید که دومین حمله نشان می‌دهد که عملیات تطبیقی گسترده‌تری علیه بانک‌ها در حال انجام است.

بانک دیگری به اسم Bonco del Austro در اکوادور نیز گزارش داد که مهاجمانی با استفاده از تراکنش‌های جعلی SWIFT، ۱۲ میلیون دلار به سرقت برده‎اند. البته هنوز اطلاعاتی راجع به ابزار مورداستفاده در این حادثه به دست نیامده و مشخص نیست که آیا این حمله به حملات دیگر در آسیا مرتبط است یا خیر.

کشف دیگر ابزارهای مورداستفاده توسط مهاجمان 

شرکت Symantec سه بدافزار شناسایی کرده است که در حملات هدف‌دار محدود علیه موسسه‌های مالی در جنوب شرقی آسیا مورداستفاده قرارگرفته‌اند: درب پشتی Fimlis، درب پشتی Fimlis B و درب پشتی Contopee. در ابتدا، انگیزه‌ی پشت این حملات مشخص نبود، اما اشتراک بین بدافزار Banswift (مورداستفاده در حمله بنگلادش برای دست‌کاری کردن تراکنش‌های SWIFT) و نسخه‌ی جدید درب پشتی Contopee خبر از یک رابطه می‌دهد.

درحالی‌که با بررسی نمونه‌های بدافزار Banswift، یک‌یک کد پاک‌کننده پرونده  پیدا شد. برخی از ویژگی‌های برجسته‌ی این از بین برنده‌ی پرونده شامل موارد زیر است:

دستورالعمل شامل دو پارامتر است: مسیر پرونده برای جایگزینی و تعداد تکرارها (حداکثر ۶ بار)

آخرین بایت پرونده‎های هدف را با 0x5F جایگزین می‌کند.

شش بایت کنترل لازم است که مشخص می‌کند چه بایتی طی فرایند جایگزین کردن باید استفاده شود.

در حال حاضر این کد واقعاً منحصربه‎فرد به نظر می‌رسد. چیزی که حتی در این مورد جالب‌تر به نظر می‌رسد این است که هنگام جستجوی بدافزارهای دیگری که حاوی ترکیب دقیقی از بایت‌های کنترل می‌باشند، درب پشتی Contopee و نمونه msoutc.exe پیدا شدند که به‌تازگی در وب‌گاه BAE که در حال بررسی حمله بنگلادش است، موردبحث قرارگرفته است.

شرکت Symantec معتقد است که کد مشخص به اشتراک گذاشته‌شده بین خانواده‌های بدافزاری و این حقیقت که درب پشتی Contopee در حملات هدف‎دار محدود علیه موسسه‌های مالی در منطقه استفاده‌شده است، به این معناست که این ابزارها می‌توانند به همان گروه مربوط شود.

حملات قدیمی

درب پشتی Contopee قبلاً توسط مهاجمانی استفاده‌شده است که با یک گروه خطرناک بزرگ به نام Lazarus کار می‌کردند. Lazarus سلسله عملیات متجاوزانه‌ای را از سال ۲۰۱۲ آغاز کرد که عمدتاً روی آمریکا و کره جنوبی تمرکز کرده بود. این گروه به درب پشتی Destover که یک بدافزار به‌شدت مخرب است نیز مربوط می‌شود. پس‌ازاینکه از این بدافزار در حمله‌ تصاویر سونی استفاده شد، FBI آن را تحت پیگری قرارداد. در پایان FBI به این نتیجه رسید که کره شمالی مسئول این حملات است.

این گروه اوایل امسال، هدف یک عملیات به نام عملیات Blockbuster قرار گرفت که شامل شرکت‌های بزرگ امنیتی است که به‌منظور کمک به سازمان‌های دولتی و بازرگانی برای مقابله با Lazarus، منابع و اطلاعاتی را به اشتراک می‌گذارند. به‌عنوان بخشی از این ابتکار، شرکت‌ها امضاهای بدافزاری و دیگر اطلاعات مفید مربوط به این حملات را دست‌به‌دست می‌کنند.

خطرات پیش رو

کشف حملات بیشتر، نشان می‌دهد که این گروه در حال اجرای عملیات گسترده‌ای علیه هدف‌های مالی در منطقه است. درحالی‌که آگاهی از خطر این گروه اکنون افزایش‌یافته است، اما موفقیت اولیه این گروه، گروه‌های دیگر را نیز به تشویق به انجام چنین حملاتی کرده است. بانک‌ها و موسسه‌های مالی دیگر باید کاملاً هوشیار باشند.