• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:298

●重點摘要：
1.​這起網路駭客攻擊竊盜案發生在2015年1月，和孟加拉國央行被盜走一樣，駭客取得Banco del Austro銀行使用Swift的代碼，進而用以轉走存放在另一家銀行的資金。Banco del Austro今年向紐約聯邦法院提告，指控富國銀行沒有注意到去年1月間出現12次轉帳交易的「危險訊號」，且未在竊賊轉走約1200萬美元前就阻止這些交易，導致大部分資金被轉移至香港的銀行。
TWCERT/CC已於4月26日分享該手法與惡意程式SHA1等資訊，再次提醒注意該手法。
2.英國國防公司BAE Systems安全研究人員指出，從孟加拉央行盜走8,100萬美元的駭客，可能已經侵入SWIFT金融平台的軟體。
3.駭客將惡意程式首先感染SWIFT’s Alliance software伺服器，其中evtdiag.exe(SHA1：525a8e3ae4e3df8c9c61f2a49e38541d196e9228)的目的是要與SWIFT Alliance software存取，並且將自己註冊成系統服務的一部分。再以預先設定好的SWIFT訊息檔進行比對，來萃取出轉帳資訊與SWIFT地址，目的是為了刪除特定的交易紀錄與交易金額。
4.感染方式如下所示
(1)感染SWIFT Alliance software的伺服器
(2)惡意程式會列出伺服器執行中的程序
(3)惡意程式檢查是否有任何程序有載入liboradb.dll模組(負責讀取資料庫路徑的進入點)
(4)若發現該模組，則用NOP指令覆蓋特定兩個bytes
(5)覆蓋後則可強迫主程式總是繞過驗證
(6)最後惡意程式即可對資料庫進行存取
相關惡意程式的SHA1請參考http://baesystemsai.blogspot.tw/2016/04/two-bytes-to-951m.html

攻擊手法： 竊取SWIFT轉帳憑證，將金額轉入其他國帳戶

參考連結：

http://securityaffairs.co/wordpress/47532/cyber-crime/swift-thord-cyber-heist.html
http://thehackernews.com/2016/05/swift-banking-hack.html
http://baesystemsai.blogspot.tw/2016/04/two-bytes-to-951m.html
http://thehackernews.com/2016/04/swift-bank-hack.htm