安全研究人员们在花时间剖析了针对孟加拉国银行的“SWIFT网络劫案”后，得出了清晰而又一致的结论。根据赛门铁克、BAE Systems、以及IssueMakersLab的Simon Choi的报告，本次攻击使用了基于SWIFT的恶意软件，这点与此前向索尼(以及其它政府机构和私营企业)发起网络攻击的Lazarus Group有着密切的关联。
 

 

恶意软件中包含了一个“熟悉的”抹盘功能。

BAE Systems于两周前率先曝光了它，不过安全企业偶尔也会陷入困顿。赛门铁克于今日发布了一份单独的报告，指出了用于渗透和劫走孟加拉国8100万美元的网络攻击的细节，结论也是基本相同的。

两家公司均指出，参照臭名昭著的Lazarus Group攻击索尼时所采用的恶意软件样本，moutc.exe中包含了诸多近似的代码功能，特别是一个“熟悉的”抹盘功能(攻击者用此来清除其曾活跃和感染过系统的痕迹)。

本次孟加拉国网络劫案中的恶意软件(Trojan.Banswift)，就包含了这一文件，赛门铁克的研究人员迅速联想到了曾在东南亚金融机构肆虐过的jinrongBackdoor.Contopee，以及Backdoor.Fimlis和Backdoor.Fimlis.B。
 

 

赛门铁克此前曾将Backdoor.Contopee和Backdoor.Destover联系起来(Lazarus的一款主力工具)。如果你对一堆专业名称感到头大，只需记得该公司是揭露Lazarus Group活动的四大安全企业之一：

赛门铁克认为Backdoor.Contopee家族间共享的特征码，曾被有限地用于针对该地区金融机构的网络袭击，意味着这些工具可能为同一团伙所持有。

我们在深入阅读了Lazarus Group的报告后发现，FBI也曾将它与2011-2013年间针对韩国金融机构的攻击事件联系了起来，因而从理论上也能解释清这一点。
 

 

IssueMakersLab制作的信息图。

在过去的一周，针对SWIFT交易系统的新型恶意软件，又将目标瞄向了厄瓜多尔和越南的两家银行。而在针对越南的攻击发生前，菲律宾一家银行也遭遇了类似的攻击。

美国安全企业FireEye当前正在调查数十起针对银行的网络攻击案，线索指向其采用了相同的操作模式。此外，孟加拉国决定重启2013年发生的一起网络攻击事件的调查，以确认是否为同一团伙所谓。

(责任编辑：腰编辑)