現代 ”迪林傑黑幫”-銀行大盜的四個攻擊面向

約翰迪林傑因為在經濟大蕭條時搶劫了二三十家銀行而惡名昭彰。他和他的同黨因著三種策略而成功:他們會研究下手機構並了解他們的安全措施和做法;他們有著優勢火力;以及他們有著更快的車子,所以他們可以跨州逃亡。現代的迪林傑黑幫出現在前蘇聯集團中。這些網路黑幫從全球金融機構竊取了數十億美金。我們從他們先進的策略中學到很重要的事情。在2014年,針對金融機構的有組織網路攻擊出現重要的轉折。優秀的「保險箱破解專家」現在從四個面向侵入:

網頁應用程式攻擊:網頁應用程式的零時差漏洞被廣泛地用來攻擊金融機構。一個重要的歐洲金融機構在7月 24日遇上一次,就如同部分美國機構一樣。

水坑攻擊:在水坑攻擊中,威脅分子會入侵金融機構網站內的特定網頁,插入會導致惡意軟體感染的漏洞攻擊碼;這類攻擊有25%位在美國。這是因為缺乏對OWASP前十大漏洞的網站安全防護和測試。

認證資訊攻擊:Emmental攻擊活動(由趨勢科技所發現)可見一斑,駭客開發自製的惡意軟體來繞過雙因子身份認證,並從註冊表刪除其足跡以避免被偵測。

跳島和二次感染:針對金融機構的「虛擬供應鏈」進行針對性攻擊的例子到處都是。除了這交易對手風險的新動力,還會廣泛利用之前安裝在受信任系統的後門程式來進行二次感染。後門程式 – 讓電腦可被遠端存取的應用程式 – 在針對性攻擊中發揮了至關重要的作用。後門程式通常會被用在針對性攻擊過程的第二(進入點)或第三(指揮和控制 [C&C])階段,好讓威脅份子可以取得對目標網路的指揮和控制能力。入侵外洩偵測系統是挫敗這類攻擊的關鍵。

2008年和 2009年的金融危機讓數以千計的銀行和金融專業人士失去工作。其中有一小部分將其金融專才和策略性知識借給地下影子經濟。有證據顯示網路犯罪分子現在將金融詐騙計畫融入網路攻擊。這些貨幣化的輔助計畫也預示了將會出現前所未見的犯罪浪潮。注:這些情境被詳細說明和預示在 2005年5月的世界銀行報告 – 「資本市場和電子詐騙」中。想知道這些騙局的說明,

請參閱:https://elibrary.worldbank.org/doi/book/10.1596/1813-9450-3586

由於網路犯罪人員組織程度和複雜度的增加,和執法單位合作已經是勢在必行。趨勢科技在過去25年來一直和國內及國際的執法單位合作。我們與國際刑警組織的合作關係以及最近協助歐洲刑警組織處理Gameover Zeus都說明了這一點。一個可以說明我們的合作的確有所必要的獨特案例是SpyEye。趨勢科技研究人員揭露了早在2011年1月就開始的SpyEye相關網路犯罪攻擊行動。這攻擊行動是由位於俄羅斯的「Soldier」(網路犯罪分子的代號)所策劃。趨勢科技研究人員自2011年3月開始就一直在監視Soldier和他的活動。根據調查,這波攻擊主要針對美國的使用者,受影響的包括一些大型企業和像美國政府和軍事機構等單位。事實上,有97%的受影響公司都位在美國。美國聯邦調查局成功起訴了在俄羅斯特維爾的「Gribodemon」Aleksandr Panin,因為他2014年1月在多明尼加度假。

只有透過全球合作才可以讓我們防禦企業來面對網路攻擊。現代的迪林傑黑幫不再會是「所向無敵」。

 

更多資源:

DTCC 最近發表了關於網路威脅和系統性風險狀態的簡報,也發表了一份白皮書來強調一些解決未來網路威脅的建議。你可以到這裡下載白皮書。

 

@原文出處:Modern Day Dillinger Gangs作者:Tom Kellermann(趨勢科技網路安全長)