近期,出于盗取资金的目的,黑客将攻击目标对准了6家俄罗斯银行。他们打算侵入这些银行的系统,之后植入Ratopak木马,盗取其用户和员工的资金。一些专家已经找到了关于此次黑客攻击的证据。
根据Symantec Security公司(赛门铁克,一家在信息安全领域全球领先的解决方案提供商)的调查显示,一个网络犯罪团伙针对多家俄罗斯银行的员工,发动了有预谋的攻击。他们发动此次攻击是出于一定的经济目的。
这次黑客攻击的威胁就在于,他们使用了一种叫做Ratopak的木马程序,它能控制受害人的PC系统并窃取其数据。自2015年10月以来,专家们就已经发现几次类似的Ratopak木马攻击。这种链式攻击方式是以黑客通过向俄罗斯金融机构的工作人员,发送假的央行工作邮件为开端。 为了达到欺骗银行工作人员的目的,他们伪造了一个名为cbr.com.ru的网域,该域名与俄罗斯央行所使用的域名(cbr.ru)十分相似,进而会误导员工进入他们的网站。
专家证实,黑客在该网站上使用了大量的伪造电子邮件和Ratopak木马,并将其作为一个小型的数据库。
Ratopak木马还具有一些后门功能,包括:窃取日志记录和偷取剪贴板数据等。
Symantec公司发布了一篇博客,在其中介绍了该木马的相关情况:“黑客通过使用Ratopak木马,可以控制被攻击的计算机,从而窃取其中的信息。这种木马攻击的威胁就在于,它能为攻击者建立一个后门,允许攻击者执行各种操作,比如:设置日志记录键、盗取剪贴板数据、检索和控制屏幕上出现的内容等。攻击者也可用它来下载一些其他的恶意文件和工具。人们往往关注的只是攻击本身的影响,而忽略了黑客下一步要采取的行动,这其实会构成更大的威胁。”
Symantec公司找到了一些能偷取证书的恶意软件和相关的攻击样本,发现它们都是被用来针对俄罗斯和乌克兰的用户的。
文章中还提到:这些软件还会检查计算机所使用的语言。如果计算机上使用的不是俄语或乌克兰语,那么恶意软件将会停止攻击。如果Ratopak发现,它是运行在一台虚拟机或安全研究员的电脑中,那么它就会自动终止并删除。
研究人员表示,许多被Ratopak木马感染的计算机会自动运行一些会计软件和文档管理软件。这些软件的功能是,能让用户安全地与一些政府机构之间,进行文档传输。比如:向税务部门提交税务数据。一旦黑客获得了这些软件的使用权限,那么后果将是极为严重的。
来自Symantec公司的恶意软件研究专家指出,许多由SBI(一家俄罗斯软件公司)开发的软件正遭到Ratopak木马的攻击。而这其中的一个应用程序是一款会计工作软件。它被称为“buh”(buh在俄语的含义为会计)。在这之后,相关的安全人员在URL地址中加入了这个词,为的是避免使那些正在使用SBI公司软件的用户,遭到恶意软件的欺骗。
其他几个受到攻击的软件之间,也存在一定的联系。比如:它们都是由SBI公司开发,黑客都利用了buh这一漏洞。SBI是一家俄罗斯的软件开发公司,致力于研发会计、工资审核等经济方面的应用程序。在SBI公司使用的URL中,他们将这些会计软件名都称为“buh”(比如:buh.sbis.ru/buh/)。Symantec公司声称,攻击者正是由于了解了这一情况,知道这些员工会使用SBI公司的会计软件,所以在他们的URL中都用到了buh这一关键词。通过在URL中使用这一字符,黑客可将攻击行为掩饰成一种正常的网页浏览。根据这一研究结果,很多的研究人员已经将Ratopak木马攻击称为了Buh陷阱(Buhtrap)。
在2015年4月,来自ESET(一家世界知名的电脑安全软件公司)的专家发现了一项叫做“Buh陷阱”的恶意软件攻击行动(Operation Buhtrap)。Buhtrap陷阱,实际上是攻击者利用了俄语中会计师一词(buhgalter),在英语中拼写的不同,从而制造了这一陷阱。到目前为止,Buhtrap被证实,只在俄罗斯和乌克兰出现过,因而它还没发展成为一种全球性的网络攻击。在这次攻击中,大约88%的目标是位于俄罗斯,而10%是位于乌克兰。分析师们根据这一特点,就将其与Anunak/Carbanak攻击行动联系在了一起,因为Anunak/Carbanak攻击行动也是针对俄罗斯和乌克兰而发动的。
黑客发动的这次Ratopak木马攻击,具有极强的针对性(只针对俄罗斯),而与以往的网络欺诈攻击不同。这似乎已经给金融犯罪加上了新的含义。他们所使用的交付方法是,给用户发送一份带有附加发票文档的电子邮件或欺骗合同。
经过研究,来自Symantec公司的专家证实了他们之前的,关于黑客发动攻击的动机的猜测。黑客的这次攻击,就是针对俄罗斯的银行和其他金融机构而实施的连环攻击。
Symantec公司发表的声明中还指出,虽然现在还没有确凿的证据能够锁定攻击的目标,但可以得到证实的是,黑客这次就是出于一定的经济动机而发动的攻击。他们的目标是在某些银行中工作的,负责税务管理的,同时还使用SBI公司会计软件的员工。
最近,其他的一些黑客组织也对俄罗斯银行发动了攻击,其中知名的组织有Carbanak和Anunak。据报道,这些组织从全球范围内的100家银行中,盗走了10亿美元。就在几周前,卡巴斯基公司发现一项被称为Carbanak2.0的攻击行动。
来自卡巴斯基安全实验室的专家表示,经过他们的研究发现,Carbanak病毒攻击又呈现出卷土重来的趋势了。而其他的一些组织正采取类似于APT(高级持续性威胁)的技术手段,来盗取资金,这些组织包括:Metel、GCMAN等。