黑客是如何入侵中国台湾远东国际商业银行的？

10月15日讯 台湾远东国际商业银行（Far Eastern International Bank）近日披露，其电脑系统遭黑客入侵远端操控转账。网络犯罪分子设法将6000万美元汇往斯里兰卡、柬埔寨和美国等地。斯里兰卡近日有报道称，锡兰银行（Bank of Ceylon）提供情报称嫌犯从远东国际商业银行转移120万美元，此后两名洗钱嫌犯被捕。
10月7日，远东国际商业银行称追回大部分资金，预计总损失达到50万美元（约合329万元）。
攻击如何实施？


McAfee发布博文分析攻击过程。 McAfee收到的初步情报显示，黑客首先通过鱼叉式网络钓鱼攻击向受害者传送“后门”附件。
下图为一些鱼叉式网络钓鱼附件截图：

受害者点击链接会被重定向至恶意网站将其它文件下载到受害者电脑，其中一个文件为：hxxps://jobsbankbd.com/maliciousfilename.exe。这个网站托管着另一个后门，为犯罪分子提供受害者银行系统的访问权。研究人员的初步分析表明，攻击者获取了登录凭证，这一点可在包含远东国际商业银行凭证的样本得以证实：

• FEIB\SPUSER14

• FEIB\scomadmin

  
  

这些凭证用于在系统上创建预定任务并监控端点安全服务的运行情况（这并不表示安全软件存在问题）。McAfee通知了安全提供商，并提供了所有研究结果。

攻击者到底是谁？

除了预定任务和凭证，研究人员发现另一串代码。样本内包含“IMAGE”（似乎是一个zip文件）。研究人员提取后发现文件aa.txt——看似是一个文本文件，然而实际上却是可执行文件。

文件包含扫描安装语言的代码，尤其以下语言：

• 419 (俄语)

• 422 (乌克兰语)

• 423 (白俄罗斯语)

  
  

若检测到上述语言，文件将不会运行。研究人员曾在勒索软件家族中发现此类行径。

分析该文件的字符串后，研究人员发现以下信息：

• HERMES 2.1 TEST BUILD, press ok

• HERMES

  
  

经证明，文件执行后表现为勒索软件，但并未显示勒索信。文件完成运行后，桌面会出现以下内容：

这个伪勒索软件最终显示画面

每个目录下的文件如下：

原Hermes勒索信指向这个文件，但研究人员未发现勒索信或赎金。今年二月浮出水面的Hermes勒索软件家族显示的勒索信如下图：

因此，研究人员怀疑这个文件是伪勒索软件，他们认为黑客利用Hermes掩盖这起攻击的真实意图。

研究人员称，很显然这是一起精心策划的针对性攻击。攻击者确定了网络钓鱼电子邮件的具体目标，并了解银行系统部署的安全措施。

研究人员警告称，犯罪分子肯花时间了解银行的运作方式，并开发软件盗窃巨款。