针对两家银行的恶意软件攻击与 2014 年索尼影业黑客事件有关

BAE Systems 安全研究人员揭露的网络阴谋故事中，孟加拉国银行、越南商业银行和索尼影业不太可能是同伙。

研究人员谢尔盖·舍甫琴科和阿德里安·尼什找到了一些链接2014 年针对索尼影业的攻击所涉及的恶意软件，以及涉及窃取 SWIFT 金融转账网络凭证的针对两家银行的攻击。

美国联邦调查局表示，朝鲜应对索尼袭击事件负责（尽管安全专家认为）分裂的关于此事）。

那么朝鲜是否正在寻求增加其外汇储备？或者是其他人在进行虚假标记操作，或者只是重复使用旧代码？

用于攻击孟加拉国银行和越南一家商业银行的两种恶意软件之间的联系是明确的。舍甫琴科和尼什对它们进行了反编译，发现它们使用相同的函数从受感染的计算机上擦除文件。该函数首先用随机字符填充文件，以确保无法从其在磁盘上占用的扇区中恢复任何内容，然后在删除文件之前将文件名更改为随机字符串。

出于对恶意软件实现其目的的彻底性的好奇，两人在在线恶意软件数据库中寻找相同文件擦除代码的其他示例。

他们在一个名为 msoutc.exe 的文件中发现了一个该文件，该文件于 2014 年 10 月 24 日编译，并由美国某人于 2016 年 3 月 4 日上传到数据库。

该可执行文件通过尝试创建名为“GlobalFwtSqmSession106839323_S-1-5-20”的互斥体或锁定标志来开始其邪恶工作，以防止恶意软件的多个副本在同一台计算机上运行。

如果该标志已经存在，意味着恶意软件的另一个副本已经在运行，则新副本会通过运行脚本将自身从系统中删除来自杀，然后退出，使第一个副本完好无损。

否则，它会继续创建日志文件并使用密钥“y@s!11yid60u7f!07ou74n001”对其进行加密。

BAE 研究人员进行了深入研究，发现该密钥已被用于通过 Windows SMB 共享传播的蠕虫中，普华永道于 2015 年发现，尽管它的互斥体略有不同。 SMB 是一种用于共享目录和打印机的 Windows 协议。

反过来，普华永道在蠕虫中发现的互斥体与一篇文章中提到的互斥体相同。2014 年 12 月 US-CERT 报告关于用于攻击“一家大型娱乐公司”的有针对性的破坏性恶意软件，人们普遍认为该公司是索尼影业。然而，US-CERT 描述的 SMB 蠕虫具有不同（尽管相似）的加密密钥。

最重要的是，Shevchenko 和 Nish 发现 msoutc.exe 使用的自杀脚本与分析公司 Novetta 报告的 Lazarus Group 开发的恶意软件特征的脚本几乎相同。 Novetta 在其报告中将索尼攻击事件归咎于该组织“重磅行动”。

因此，这两家银行受到了恶意软件的攻击，其中包含与名为 msoutc.exe 的恶意软件中使用的文件删除功能相同的文件删除功能。 msoutc.exe 使用的自杀脚本、加密密钥和互斥体名称与索尼攻击中涉及的恶意软件使用的自杀脚本、加密密钥和互斥体名称非常相似。

所有这些攻击的幕后黑手仍然无人知晓：在孟加拉国，政府官员将矛头指向去年在央行网络上工作的 SWIFT 技术人员，而联邦调查局 (FBI) 则表示，这次攻击是内部人员所为，但将索尼归咎于朝鲜人。

尽管舍甫琴科和尼什强调了攻击之间的联系，但仍然有可能其他人像他们一样熟练地使用反编译器，并重复使用代码 - 并选择类似的加密密钥 - 留下错误的痕迹。

但英国航空航天局的研究人员表示，这种可能性很小。

他们总结道：“这些样本之间的重叠为近期银行抢劫案和近十年来更广泛的已知活动背后的同一编码员提供了强有力的联系。”