2012年12月24日 星期一

駭客計畫於2013年春季攻擊30家美國銀行


駭客計畫於2013年春季攻擊30家美國銀行

繼安全公司RSA在今年十月發出警告,指出一個名為Project Blitzkrieg的網路攻擊行動將鎖定30家美國銀行,以竊取其用戶帳戶中的金額後,McAfee日前也發布一份安全報告指出,該網路攻擊計畫確實存在,而且即將在2013年春季展開,因此呼籲銀行業者必須高度警戒。

今年稍早時,RSA發布一份安全報告中指出,一名暱稱為vorVzakone的駭客在俄國的網路地下論壇發出招募訊息,邀請其他駭客共同參與「Blitzkrieg」計畫。該項行動預計透過木馬程式Gozi的變種Gozi Prinimalka進行,預計鎖定30家美國銀行的客戶,竊取其網路銀行帳戶中的金額。

不過隨後有其它的安全專家表示,Project Blitzkrieg太過明目張膽,因此猜測它可能只是官方單位的某個間諜行動。然而,McAfee實驗室在分析了Gozi Prinimalka病毒及Project Blitzkrieg的相關訊息後,他們認為Project Blitzkrieg是一個確實存在的威脅。

RSA的網路犯罪和網路詐欺專家Limor Kessem回應,McAfee的報告只是印證了RSA的警告所言不虛,事實上,RSA從來不認為駭客會取消該攻擊計畫,只是他們將更加隱密的進行。而自從RSA揭露了這項攻擊計畫後,vorVzakone也沒有再張貼任何訊息。

根據RSA的報告,Gozi Prinimalka會透過email感染個人電腦,然後會如同Zeus或SpyEye病毒一般,當用戶登入他們的網路帳戶時,再攔截其帳號與密碼的訊息。不過比較特別的是,Gozi Prinimalka的命令與控制伺服器(Command-and-Control server, C&C server)具備一個虛擬機器複製模組(virtual machine syncing module),該模組可以複製受感染的電腦的設定,比如時區、螢幕解析度、cookies、瀏覽器,以及安裝的軟體ID,因此攻擊者可以模擬一個虛擬的系統,然後以該虛擬系統登入該使用者的網路帳戶。由於該虛擬系統會使用感染電腦的最新的IP位址,因此將更難被偵測到。

McAfee的報告中則進一步指出,自從今年四月以來,就有許多小規模的攻擊透過Gozi Prinimalka進行,而且至少有300至500台電腦遭受感染,而這些小規模的攻擊應該只是前導測試,駭客試圖藉此更加熟悉該木馬程式的運作。此外,McAfee也偵測到,有許多新的C&C伺服器在近幾個月大量出現,一開始在羅馬尼亞、俄國、烏克蘭被發現,不過隨後也在其他地區陸續出現。

McAfee實驗室的研究人員Ryan Sherstobitoff指出,根據McAfee蒐集的資訊證明,該計畫仍持續進行中,而最新一起利用Gozi Prinimalka的攻擊發生在11月30日。另一方面,Sherstobitoff也說明,並非所有電腦受感染的用戶都會成為攻擊目標,攻擊者會分析其帳戶的金額,然後選擇竊取那些具有高額度金額的帳戶,因此與其說Project Blitzkrieg是大規模的攻擊,不如說它是更具選擇性的目標式攻擊。

Sherstobitoff建議,為了因應Project Blitzkrieg,金融機構必須強化他們的監測機制,並特別留意異常行為,比如從國外地區登入、某個客戶的IP位址在非一般的時間點時登入或交易、以及許多無關的帳戶的金額同時轉到另一個相同的帳戶中。此外,銀行單位也應該通知他們的用戶,必須確保其防毒軟體隨時都處於最新狀態,如果用戶發現登入網路銀行時有任何可疑訊息或奇怪的彈跳式視窗,也最好隨即通報,以降低可能的風險。

轉載自《資安人科技網》