對兩家銀行的惡意軟件攻擊與 2014 年索尼影業黑客事件有關

BAE Systems 安全研究人員揭露的網絡陰謀故事中，孟加拉國銀行、越南商業銀行和索尼影業不太可能是同夥。

研究人員謝爾蓋·舍甫琴科和阿德里安·尼什找到了一些鏈接2014 年針對索尼影業的攻擊所涉及的惡意軟件，以及涉及竊取 SWIFT 金融轉賬網絡憑證的針對兩家銀行的攻擊。

美國聯邦調查局表示，朝鮮應對索尼襲擊事件負責（儘管安全專家認為）分裂的關於此事）。

那麼朝鮮是否正在尋求增加其外匯儲備？或者是其他人在進行虛假標記操作，或者只是重複使用舊代碼？

用於攻擊孟加拉國銀行和越南一家商業銀行的兩種惡意軟件之間的聯繫是明確的。舍甫琴科和尼什對它們進行了反編譯，發現它們使用相同的函數從受感染的計算機上擦除文件。該函數首先用隨機字符填充文件，以確保無法從其在磁盤上佔用的扇區中恢復任何內容，然後在刪除文件之前將文件名更改為隨機字符串。

出於對惡意軟件實現其目的的徹底性的好奇，兩人在在線惡意軟件數據庫中尋找相同文件擦除代碼的其他示例。

他們在一個名為 msoutc.exe 的文件中發現了一個該文件，該文件於 2014 年 10 月 24 日編譯，並由美國某人於 2016 年 3 月 4 日上傳到數據庫。

該可執行文件通過嘗試創建名為“GlobalFwtSqmSession106839323_S-1-5-20”的互斥體或鎖定標誌來開始其邪惡工作，以防止惡意軟件的多個副本在同一台計算機上運行。

如果該標誌已經存在，意味著惡意軟件的另一個副本已經在運行，則新副本會通過運行腳本將自身從系統中刪除來自殺，然後退出，使第一個副本完好無損。

否則，它會繼續創建日誌文件並使用密鑰“y@s!11yid60u7f!07ou74n001”對其進行加密。

BAE 研究人員進行了深入研究，發現該密鑰已被用於通過 Windows SMB 共享傳播的蠕蟲中，普華永道於 2015 年發現，儘管它的互斥體略有不同。 SMB 是一種用於共享目錄和打印機的 Windows 協議。

反過來，普華永道在蠕蟲中發現的互斥體與一篇文章中提到的互斥體相同。2014 年 12 月 US-CERT 報告關於用於攻擊“一家大型娛樂公司”的有針對性的破壞性惡意軟件，人們普遍認為該公司是索尼影業。然而，US-CERT 描述的 SMB 蠕蟲具有不同（儘管相似）的加密密鑰。

最重要的是，Shevchenko 和 Nish 發現 msoutc.exe 使用的自殺腳本與分析公司 Novetta 報告的 Lazarus Group 開發的惡意軟件特徵的腳本幾乎相同。 Novetta 在其報告中將索尼攻擊事件歸咎於該組織“重磅行動”。

因此，這兩家銀行受到了惡意軟件的攻擊，其中包含與名為 msoutc.exe 的惡意軟件中使用的文件刪除功能相同的文件刪除功能。 msoutc.exe 使用的自殺腳本、加密密鑰和互斥體名稱與索尼攻擊中涉及的惡意軟件使用的自殺腳本、加密密鑰和互斥體名稱非常相似。

所有這些攻擊的幕後黑手仍然無人知曉：在孟加拉國，政府官員將矛頭指向了去年在央行網絡上工作的 SWIFT 技術人員，而聯邦調查局 (FBI) 則表示這次攻擊是內部人員所為，但將索尼歸咎於朝鮮人。

儘管舍甫琴科和尼什強調了攻擊之間的聯繫，但仍然有可能其他人像他們一樣熟練地使用反編譯器，並重複使用代碼 - 並選擇類似的加密密鑰 - 留下錯誤的痕跡。

但英國航空航天局的研究人員表示，這種可能性很小。

他們總結道：“這些樣本之間的重疊為近期銀行搶劫案和近十年來更廣泛的已知活動背後的同一編碼員提供了強有力的聯繫。”

這個故事的早期版本在第五段中錯誤地表述了孟加拉國銀行的名稱。