数字安全企业赛门铁克(Symantec)的研究人员称,在近期针对银行的三次攻击中,窃贼使用的一段不同寻常的代码仅见于过去的两桩案件:一是2014年12月索尼电影娱乐公司(Sony Pictures)遭受的黑客攻击;二是2013年韩国的多家银行和媒体公司遭受的攻击。美国和韩国的政府官员将这两次攻击归咎于朝鲜,不过他们并未提供独立验证。
周四,赛门铁克的研究人员表示,他们发现了一些证据,能将三起攻击事件联系起来。它们分别是去年10月菲律宾的一家银行遭受的攻击、去年12月越南先锋银行(Tien Phong Bank)受到的攻击,以及今年2月让孟加拉国中央银行损失逾8100万美元的攻击。
“如果相信之前那两次攻击是朝鲜干的,那么针对银行的这几次攻击就也是朝鲜所为,”在赛门铁克进行安全研究的埃里克·钱(Eric Chien)说。他发现了这三次攻击使用了相同代码。
“我们还从来没有见过哪回的攻击是国家进去偷钱,”他还说。“这是头一遭。”
这些攻击引起了全世界银行业的警觉,因为窃贼把手伸向了环球银行金融电信协会(Swift)。这是一个总部位于布鲁塞尔的银行业团体,运行着大家认为是世界上最安全的支付电文系统。有逾1.1万家银行与企业使用该系统,以将资金从一国转移到另一国,而这恰好是它成为罪犯眼中诱人目标的一个原因。
Swift公开警告,这几次事件属于针对银行的大范围协同攻击的一部分,不过它并未将其归咎于谁。它还强调,攻击者打开缺口的地方是银行进入Swift系统的连接点,而非Swift本身的核心电文网络。而且,美国的银行界高层指出,这几次安全漏洞都发生在第三世界国家的银行身上。这一点或许会让美国的银行客户感到些许安慰。
安全研究人员和美国政府官员过去曾将数以千计的攻击归结到国家身上。一些人认为,美国和以色列与摧毁伊朗离心机的一次攻击有关,而中国军方及承包商与窃取数千家境外实体的军事和贸易机密有关。
不过,安全研究人员表示,近期涌现的针对孟加拉国与东南亚国家银行的攻击,是首次由一个国家使用恶意代码来纯粹窃取钱财。
平壤诉诸网络盗窃的想法并不令人意外。朝鲜经济因制裁和粮食短缺等物资匮乏而遭受重创。平壤并不公布经济数据,不过外界估算,朝鲜的国内生产总值在120亿到400亿美元之间。与韩国的1.4万亿美元相比,可谓微不足道。
在孟加拉国央行今年2月遭受的攻击中,窃贼试图从纽约联邦储备银行(Federal Reserve Bank of New York)转出10亿美元。联储官员开始对某些汇款请求心生怀疑,仅放出了8100万美元到菲律宾的账户上。
“假定是朝鲜干的,那么10亿美元就快到他们GDP的10%了,”埃里克·钱(Eric Chien)评价。“这可不是什么小数目。”
赛门铁克的研究人员表示,带有朝鲜代码的那家菲律宾银行有可能也卷入了孟加拉央行盗窃案,以及越南先锋银行遭受的攻击企图。
研究人员不准备透露那家菲律宾银行的名字,也没有说出窃贼是否成功地转出了资金。他们只确认,攻击者设法攻破了这家银行,在它的计算机系统中植入了同样的代码串——与他们在孟加拉国、越南及2014年索尼和2013年韩国遭受的那两次攻击中找到的代码一致。
埃里克·钱指出,在这三次针对银行的攻击中,攻击者不仅使用了相同的数字,还采用了同样的独特排序来写这部分代码。
他认为,证据指向的是,这三次攻击均为“拉撒路集团”(Lazarus Group)的手笔。他所在的研究团队用这个名字来称呼索尼和韩国事件背后的攻击者。
迄今为止,没有证据表明窃贼把目标对准了美国或欧洲的大银行,但每周都有人反映可能出现了新攻击。上周出现的证据表明,入侵厄瓜多尔的Banco Del Austro银行的黑客,也能够偷偷潜入Swift的网络。该银行向美国的联邦法院提起诉讼,控告富国银行(Wells Fargo)。诉讼显示,窃贼将几百万美元转移至全球多个账户,富国银行为其中一笔转账业务提供了协助。
研究人员尚未发现黑客攻击厄瓜多尔这家银行时使用的任何代码,但银行业分析人士称,这些攻击发生在发展中国家可能不是巧合,那些地区的安全措施往往不像纽约和伦敦这种金融中心那么严格。
最近几周,Swift发布了大量警告,敦促银行加强安全规范。分析人士担心,这些入侵可能会给全球金融造成寒蝉效应,大银行可能会不愿,甚或拒绝与发展中国家的小银行进行交易,除非向它们保证,后者的网络未被窃贼和恶意软件入侵。
周二在布鲁塞尔的一场会议上,Swift的首席执行官戈特弗里德·莱布兰特(Gottfried Leibbrandt)称,最近这些攻击造成的损害,可能远远超出了对零售商和电话公司的入侵。他表示,零售商和电话公司蒙受的主要是声誉和法律方面的损失。
“被这样入侵的银行可能会被迫停业,”莱布兰特说。