前一陣子, 孟加拉、 越南和厄瓜多等地的銀行遭網路犯罪集團洗劫,引起了許多報導與討論。這三起搶案都牽涉到「環球銀行金融電信協會」(Society for Worldwide Interbank Financial Transfers)的 SWIFT 系統,這是一個全球金融銀行機構彼此溝通訊息與交易指示的系統,該協會擁有超過 10,000 家會員,涵蓋銀行、證券、外匯、投資等等金融相關機構。前述知名的攻擊事件讓人不解的是,為何駭客能夠進入這些銀行並取得交易及匯款的授權?他們使用了什麼工具?金融機構需要甚麼安全機制才能偵測這些可疑的活動?
越南 Tien Phong Commercial Joint Stock Bank 在去年底所發生的這一起精密的網路竊盜案,其背後的駭客使用了專門用來攻擊 SWIFT 訊息網路的工具,並且會修改 SWIFT 訊息來竊取匯款。此外,歹徒似乎非常熟悉 SWIFT 系統以及銀行如何使用這套系統,包括銀行的作業方式在內。這一點從歹徒知道如何利用 Foxit 閱讀器這個免費的 PDF 編輯、檢視、製作工具來針對這家越南銀行進行社交工程攻擊就能看出,透過事先的偵查,歹徒知道這家銀行的作業當中會用到這項 PDF 閱讀器。
全球遭到攻擊有八家銀行 (其 SWIFT 代碼都記錄在惡意程式內),其中有六家都是位於亞太地區,另兩家則分別位於美國和歐洲。我們相信,這麼多攻擊目標集中在亞洲絕非巧合,或許,這些網路犯罪集團非常了解亞洲地區的銀行生態以及銀行在網路安全方面的困境。儘管亞洲地區的銀行已著手針對安全進行一番大幅改革,但 依然落後美國和歐洲的銀行,有些區域性的銀行即使意識到安全的重要性,但仍並未編列足夠的預算或投資一些更安全的技術和解決方案。某些亞洲國家更缺乏跨國界的協調機制,因而造成打擊網路犯罪上的阻礙。根據 2015 年的一份 研究顯示,亞洲地區還有一項弱點,那就是公私部門缺乏合作,難以解決網路安全的問題。
歹徒不留痕跡
趨勢科技仔細研究了一下歹徒攻擊越南銀行所使用的工具 (也就是我們偵測到的 TSPY_TOXIFBNKR.A)。當該工具在銀行使用 SWIFT 系統的電腦上執行時,可提供三項主要功能。首先,它可透過修改 PDF 檔案中的 SWIFT 訊息來篡改銀行交易,不過,由於此惡意程式是假冒成 Foxit 閱讀器,因此它必須成為系統預設的 PDF 開啟程式才能奏效,或者由使用者手動利用這工具來開啟含有 SWIFT 訊息的檔案。其次,惡意程式可將其所有活動痕跡刪除,包括嘗試修改失敗的痕跡,此外,它所刪除的資料還包括銀行進出交易的記錄檔。最後,它會記錄並詳細說明其活動。下圖顯示該程式的感染運作過程,目前我們仍在監控這項威脅,看看它是否有任何進一步的發展或額外的發現。
