全球转账支付平台受网络威胁,孟加拉事件可能重演 作者:Pr0.S

2个多月前发生的孟加拉国央行失窃案已经震惊全球,但最新调查显示,这起大胆的网络银行抢劫案或许只是一个开始。据英国《金融时报》27日报道,网络窃贼盯上了环球银行间金融通信协会(SWIFT)的转账支付系统,针对孟加拉国央行的攻击可能再次重演。

SWIFT总部位于比利时首都布鲁塞尔,是全球通行的银行间转账支付平台,为200多个国家和地区的1.1万家银行等机构服务。


0X01 孟加拉央行网上劫案

在孟加拉央行的事件中,网络黑客曾通过SWIFT发送假指令,从孟加拉国央行成功窃得8100万美元,这也是史上最大的银行抢劫案之一。


孟加拉央行大楼

据悉,黑客入侵了孟加拉国央行的安全系统,通过SWIFT向这家央行在纽约联储开设的账户发送了35个假指令,要求转移孟加拉央行账上的9.51亿美元。在执行第5个指令时,黑客拼错的一个英文单词,让代理行对转账的真实性产生了怀疑。之后纽约联储决定不处理另外30个指令。但此时,已经有1.01亿美元转出了。此后,孟加拉国央行追回了约2000万美元,但剩下的已经流入到菲律宾的赌场、赌场度假村及****公司。也就是说,黑客成功从孟加拉国央行在美国纽约联邦储备银行的账户中转走了8100万美元。

针对孟加拉国央行失窃案的调查发现,制造这起震撼全球银行业窃案的网络窃贼,其用心不仅是盗走孟加拉国钱财,还可能攻击SWIFT的转账支付系统。

0X02 恶意软件入侵SWIFT

路透社援引英国航空航天系统公司安全威胁情报部门主管阿德里安·尼什的话报道称,他们发现一款名为evtdiag.exe的恶意软件,这是一款为孟加拉国央行“量身定制”的恶意软件,黑客可以靠它修改央行连接SWIFT转账支付系统的密码、拦截从SWIFT方面发来的转账确认信息以及删除转账记录等。黑客还可以借助这款软件人为操控孟加拉国央行的账户结余情况,以便在失窃资金“洗白”前不被发现。

据新加坡《联合早报》网站4月25日报道,全球3000家金融机构组成的SWIFT向路透社证实,该协会已获悉有恶意软件(malware)攻击其客户端软件Alliance Access的情况。

SWIFT官方网站发文回应,称该机构注意到有恶意软件攻击客户的软件系统,但“恰恰与相关报道所说内容相反的是,这款恶意软件对SWIFT的网络或核心信息交互系统没有影响”。

路透社所提到的恶意软件“只能在黑客已经成功发现并利用当地(银行)系统网络安全隐患之后才能被植入”;SWIFT已经研发出相应设备,以助客户提升网络安全、找准当地数据库记录有出入之处。

SWIFT发言人德特兰说,该协会25日将发出软件更新,抵御恶意软件入侵,同时向成员机构发出特别警告,提醒它们加强检查安全程序。

德特兰说,协会将发出软件更新“协助客户加强它们的保安和彻查它们的数据记录是否存在不一致之处”。她说,该恶意软件“对SWIFT的网络或核心通信平台没有影响”。德特兰也说,全球有1.1万家银行和金融机构使用SWIFT通信平台,但只有少数使用疑遭入侵的Alliance Access客户端软件。

0X03 银行界普遍担忧

安全专家们却普遍认为,虽然这款恶意软件专门针对孟加拉国央行,但“本次网络攻击中使用的通用工具、技术和步骤可能使黑客团体能够再次发起别的攻击”。

受聘调查孟加拉国央行被黑事件的网络安全公司FireEye表示,它已经“在其他金融服务机构观察到了活动,很可能出自对孟加拉国央行发起网络攻击的同一个威胁源”。就此,网络安全界的一名人士表示,FireEye的声明相当于警告,犯罪分子发起了一波针对银行的攻势。

《央行杂志》出版人尼克·卡佛称,各国央行一直在关注网络犯罪,但是,实时全额结算系统和SWIFT处在一个不同的层面。“SWIFT是国际支付的神经系统。因此,这些发现将让各国央行非常担忧。”

不过,SWIFT表示,针对孟加拉国央行的那款恶意软件,“对SWIFT的网络或核心信息交互系统没有影响。”SWIFT强调,该恶意软件“只能在黑客已经成功发现并利用当地(银行)系统网络安全隐患之后才能被植入。”就此,SWIFT 已经研发出相应设备,帮助客户提升网络安全、找准当地数据库记录有出入之处。

有消息指出,孟加拉国央行之所以遭黑客成功攻击,原因是这家金融机构的电脑没有安装防火墙,而且使用的还是廉价的网络交换机。(孟加拉央行竟然敢在网上“裸奔”)


孟加拉国央行行长阿蒂·拉赫曼在新闻发布会上讲话

孟加拉国警方刑事调查部门的默罕默德·阿拉姆表示,由于这些漏洞,因此今年早些时候黑客很容易就攻破了系统,“如果有防火墙,那么黑客攻击将相对困难。”

0X04 SWIFT承认孟加拉央行窃案并非孤立事件

SWIFT首次承认孟加拉央行失窃案并非是孤立事件。“SWIFT意识到最近发生了很多网络事件,在这些事件中,来自内部或外部的恶意袭击者从跟本地接口相连,进而连接到SWIFT网络的金融机构后台、个人电脑或工作站提交了SWFIT的信息,”该组织在对客户发布的一份声明中称。

报道称,SWIFT没有在这份标为机密的警告函中提到遭受损伤的客户名字,也没有提及这些黑客攻击带来的损失。

同样在周一,SWIFT发布了银行用来接入其网络的软件的安全更新,并告知客户必须在5月12日前安装。根据信息行业专业网站Threatpost的报道,英国国防承包商BAE系统安全专家表示,在孟加拉一案中,黑客很可能伪装成内部人士,在金融机构的SWIFT支付系统里安插了恶意软件包。SWFIT在发给该媒体的一份声明中表示,它已经意识到了该恶意软件,并表示该软件只影响客户端设备,没有对SWIFT网络和核心讯息服务构成威胁。

此前媒体曾报道,孟加拉财政部长A.M.A Muhith表示,该国数名银行官员“百分百”卷入了这场劫案中。

网络安全专家表示,在SWIFT银行客户对它们的账号进行安全审查之际,更多类似的大型网络金融劫案或浮出水面。

2016-04-29 12:42
来源:malwarebenchmark
热门推荐更多
热点新闻更多