前一陣子, 孟加拉、 越南和厄瓜多等地的銀行遭網路犯罪集團洗劫,引起了許多報導與討論。這三起搶案都牽涉到「環球銀行金融電信協會」(Society for Worldwide Interbank Financial Transfers)的 SWIFT 系統,這是一個全球金融銀行機構彼此溝通訊息與交易指示的系統,該協會擁有超過 10,000 家會員,涵蓋銀行、證券、外匯、投資等等金融相關機構。前述知名的攻擊事件讓人不解的是,為何駭客能夠進入這些銀行並取得交易及匯款的授權?他們使用了什麼工具?金融機構需要甚麼安全機制才能偵測這些可疑的活動?
越南 Tien Phong Commercial Joint Stock Bank 在去年底所發生的這一起精密的網路竊盜案,其背後的駭客使用了專門用來攻擊 SWIFT 訊息網路的工具,並且會修改 SWIFT 訊息來竊取匯款。此外,歹徒似乎非常熟悉 SWIFT 系統以及銀行如何使用這套系統,包括銀行的作業方式在內。這一點從歹徒知道如何利用 Foxit 閱讀器這個免費的 PDF 編輯、檢視、製作工具來針對這家越南銀行進行社交工程攻擊就能看出,透過事先的偵查,歹徒知道這家銀行的作業當中會用到這項 PDF 閱讀器。
全球遭到攻擊有八家銀行 (其 SWIFT 代碼都記錄在惡意程式內),其中有六家都是位於亞太地區,另兩家則分別位於美國和歐洲。我們相信,這麼多攻擊目標集中在亞洲絕非巧合,或許,這些網路犯罪集團非常了解亞洲地區的銀行生態以及銀行在網路安全方面的困境。儘管亞洲地區的銀行已著手針對安全進行一番大幅改革,但 依然落後美國和歐洲的銀行,有些區域性的銀行即使意識到安全的重要性,但仍並未編列足夠的預算或投資一些更安全的技術和解決方案。某些亞洲國家更缺乏跨國界的協調機制,因而造成打擊網路犯罪上的阻礙。根據 2015 年的一份 研究顯示,亞洲地區還有一項弱點,那就是公私部門缺乏合作,難以解決網路安全的問題。
歹徒不留痕跡
趨勢科技仔細研究了一下歹徒攻擊越南銀行所使用的工具 (也就是我們偵測到的 TSPY_TOXIFBNKR.A)。當該工具在銀行使用 SWIFT 系統的電腦上執行時,可提供三項主要功能。首先,它可透過修改 PDF 檔案中的 SWIFT 訊息來篡改銀行交易,不過,由於此惡意程式是假冒成 Foxit 閱讀器,因此它必須成為系統預設的 PDF 開啟程式才能奏效,或者由使用者手動利用這工具來開啟含有 SWIFT 訊息的檔案。其次,惡意程式可將其所有活動痕跡刪除,包括嘗試修改失敗的痕跡,此外,它所刪除的資料還包括銀行進出交易的記錄檔。最後,它會記錄並詳細說明其活動。下圖顯示該程式的感染運作過程,目前我們仍在監控這項威脅,看看它是否有任何進一步的發展或額外的發現。
圖 1:ITSPY_TOXIFBNKR.A 感染運作過程。
如何降低風險從各個角度來看,銀行機構都是歹徒眼中的肥羊。此次攻擊行動幕後的歹徒花了很長的時間來預先熟悉其目標的作業方式以及 SWIFT 系統,因而能夠入侵目標銀行的網路並利用 SWIFT 系統的弱點。除此之外,歹徒也捨棄一般入侵網路之後再竊取機密資料、或是使用惡意程式來取得大量個人身分資訊 (PII) 與帳號密碼之後再拿到地下網路兜售的策略。
此次網路攻擊不僅暴露出銀行的弱點,也突顯出邊境防禦一旦出了問題,很可能導致什麼嚴重的後果,此外也點出安全機制最重要的就是必須面面俱到,包括全球金融轉帳機制的存取與控管。在 SWIFT 機構所發出的一份 聲明當中,他們建議客戶應該隨時監控其網路銀行的匯款交易以及訊息收發管道,包括設定密碼來作為預防性措施,此外,SWIFT 執行長 Gottfried Leibbrandt 也正在推動SWIFT 安全性改善計畫,他建議有必要更嚴格要求客戶妥善管理其軟體的安全性,並且改善使用者之間的資訊分享。
我們在先前的 文章中曾經提到,資訊安全應該是一套流程、一種意識以及一種態度,同時我們也建議企業應該教育並訓練員工認識網路安全風險,尤其是有權存取機密資料的員工。
趨勢科技Deep Discovery可協助客戶偵測專門針對 SWIFT 的威脅。我們的端點防護產品,如:趨勢科技Smart Protection Suites 以及Worry-Free Pro皆可協助中小型金融機構偵測其網路上是否有這項威脅及所有相關惡意檔案。
入侵指標資料
系統上若出現以下檔案,則代表很可能已感染了 TSPY_TOXIFBNKR.A :
- Foxit Reader.exe (注意:正牌的 Foxit 閱讀器檔案名稱為「FoxitReader.exe」)
- mspdclr.exe
- %Temp%\WRTU\ldksetup.tmp
- %Temp%\WRTU\LMutilps32.dat
以下是越南銀行攻擊事件當中所用檔案的 SHA1 雜湊碼:
- A1BC507B1C5C7A82E713554AFE0F4CECE900B6A2
- 781386119695d5d38bd533130d724c9abf6f4ff6
原文出處: High-Profile Cyber Theft Against Banks Targeted SWIFT Systems