5个月的APT准备 拿下银行5小时 攻击者获得了百万银行客户交易数据 卡巴斯基称中国的银行在攻击列表中

一个网络犯罪组织接管了巴西一家银行主要的在线业务, 为期五个小时。黑客破坏了银行的 dns 系统, 并截获了所有其与金融机构的联系。根据卡巴斯基实验室的调查, 攻击较为复杂, 攻击者使用了有效的 ssl 数字证书和Google云，以便支持其伪造的银行基础架构。卡巴斯基实验室没有透露被攻击的银行的名字，但攻击者泄露了36个属于银行的域名, 包括内部电子邮件和 ftp 服务器。黑客入侵了dns提供商Registro.br 的域名服务后, 对银行的 dns 进行了控制。目前还不清楚黑客是如何破坏 dns 提供商的, 但专家们认为, 网络攻击至少已经准备了五个月。

袭击发生在2016年10月22日, 历时五个小时, 袭击者可能捕获了世界各地数以百万计的银行客户交易。当银行客户尝试访问该银行提供的在线服务时, 他们会看到伪装成 Trusteer 银行安全插件应用程序，但实际上已经感染了恶意软件。恶意软件旨在禁用受害者的安全防护软件并窃取登录凭据、电子邮件联系人列表以及电子邮件和 ftp 账户。恶意代码针对许多国家的银行的设置了攻击列表, 包括巴西、美国、英国、日本、葡萄牙、意大利、中国、阿根廷和开曼群岛。攻击者使用了一个模块化的恶意软件, 可以感染 windows 和 mac os。恶意软件目前被识别为Trojan-Downloader.Java.Agent， Trojan.BAT.Starter， not-a-virus:RiskTool.Win32.Deleter，Trojan-Spy.Win32.Agent。在五小时攻击期间, 骗子还对特定的银行客户发起了钓鱼攻击，失窃的信息被黑客送往加拿大的一台服务器,

专家们解释说, 这是他们第一次观察到如此大规模的袭击。”据我们所知, 之前从未发生过此类大规模攻击” ，卡巴斯基实验室住拉丁美洲研究和分析小组的主任Dmitry Bestuzhev解释说。卡巴斯基的专家们强调， dns 供应商 Registro.br 修复了其网站上的一个跨站请求伪造漏洞, 攻击者有可能是利用了该漏洞进行攻击。也许他们 (攻击者) 利用该网站上的漏洞并得到控制权，也可能是攻击者针对该服务商的员工发起了网络钓鱼攻击, 我们不知道他们最初是搞定 dns 供应商的。但专家们发现，巴西银行没有启用由 Registro.br提供的双因子认证机制。卡巴斯基对一个尖端的巴西网络犯罪团伙的调查还在继续中。

End.