2016年8月,韩国国防部遭受一起网络攻击,造成约3,000台主机被感染。韩国国防部在2016年12月公开了这一情况,承认有一些机密信息可能泄露。
六个月后,韩国一家本地供应商管理的至少60台ATM机遭受恶意软件感染。韩国的金融安全研究院报道了(韩语)了这一事故,而且根据韩国金融监督机构,这起事故造成2,500张信用卡信息被盗,网络罪犯还在台湾从这些账户中非法取出约2,500美元现金。卡巴斯基实验室对攻击ATM的恶意软件进行了研究,发现攻击者使用的恶意代码同2016年8月攻击韩国国防部的恶意代码相同。
探索这些攻击和之前的攻击之间的联系时,卡巴斯基实验室发现它们同DarkSeoul恶意攻击行动和其他攻击有相似之处,而这些攻击正是由Lazarus黑客组织发动的。共同点包括使用相同的解密程序和混淆技术,命令和控制基础架构中的重叠以及代码中的相似之处。
Lazarus是一个活跃的网络犯罪组织,被认为在全球范围内发动了大量毁灭性的网络攻击,导致了包括2014年发生的索尼影业被黑事件以及去年的孟加拉银行8100万美元失窃案。
卡巴斯基实验室全球研究和分析团队(GReAT)高级安全研究员Seongsu Park说:“尽管这次针对韩国国防部的攻击和针对ATM的攻击的规模并不大,危害性也不强,但却证明了一种令人担忧的趋势。至少从2013年开始,韩国就成为一个网络间谍攻击的目标,但是这却是首次ATM遭受攻击,目标是获取经济利益。如果我们发现的关联是正确的,就再一次表明Lazarus组织正在将其注意力和攻击能力转向获取经济利益。银行和其他金融机构需要增强自身的防御,以免为时已晚。”
· 引入企业范围内的有关ATM和网络银行安全的反欺诈策略。随着攻击变得越来越复杂,企业应该同时采取针对ATM的逻辑安全、物理安全以及欺诈预防措施。
· 确保企业部署了全面和多层级的安全解决方案。对于金融机构,我们推荐使用具有默认拒绝模式和文件完整性监控功能的专用解决方案,例如卡巴斯基嵌入系统安全解决方案。这些解决方案能够检测支付设备基础设施内的可疑行为。我们还建议企业为ATM或POS设备实施网络分段。
· 每年进行一次安全审计和渗透测试。最好让专业人员查找漏洞,而不是等待他们被网络罪犯找到。
· 考虑购买威胁情报服务,以便了解快速演化的和新兴的威胁形势,帮助企业和客户做好准备进行应对。
· 对员工进行安全培训,以便更好地发现可能是攻击第一阶段的可疑电子邮件
