Gaia Bottà

SWIFT, seconda ondata di cyber-rapine

Un secondo gruppo di criminali abusa del circuito di pagamenti internazionale per le proprie operazioni truffaldine. Si serve di un trojan denominato Odinaff, e di altro malware già nell'arsenale del gruppo Carbanak

Roma - Sono trascorsi solo pochi mesi dallo scoperchiamento del vaso di Pandora degli attacchi condotti ai danni del circuito di pagamento internazionale SWIFT, individuati con la sventata operazione di cybercrime ai danni della Banca Centrale del Bangladesh. I ricercatori di Symantec hanno ora segnalato che il gruppo di cybercriminali operativo nei mesi scorsi non è l'unico ad aver insidiato il sistema di pagamenti interbancari.

Questa seconda gang è stata ricondotta all'impiego del trojan Odinaff e di sue varianti capaci di colpire macchine Windows, utilizzati fin dal mese di gennaio del 2016 per colpire un totale di un centinaio di organizzazioni che operano in ambito bancario e finanziario soprattutto negli USA, ma anche ad Hong Kong, in Australia, Regno Unito e Ucraina. Odinaff, inoculato nelle macchine obiettivo dell'attacco tramite campagne email mirate con allegati infetti o tramite altri malware già ospitati dai sistemi target, permette ai cybercriminali di monitorare quanto avviene sul sistema colpito e di impartire ordini, fra cui l'installazione di ulteriore codice per condurre gli attacchi. Codice che consente ad esempio di intercettare messaggi formattati con standard SWIFT sulla base degli IBAN coinvolti o di altri dettagli relativi alle transazioni, e che consente di occultarli al sistema ospite, così da far perdere le tracce delle transazioni fraudolente, oppure che permette di rimuovere qualsiasi elemento che possa ricondurre ai malware, una volta esaurita la loro funzione.

Sono alcuni di questi dettagli a suggerire a Symantec di tracciare un collegamento tra l'attività dei cybercriminali che hanno sfruttato il trojan Odinaff per condurre attacchi al network SWIFT e quelle del gruppo denominato Carbanak, cybergang individuata da Kaspersky nel 2015. Comuni alle campagne dei due gruppi, parte dei toolkit utilizzati, alcuni indirizzi IP relativi ai centri di comando e controllo delle operazioni malevole, un indirizzo IP già impiegato per l'attacco ai POS MICROS di Oracle, attribuito al gruppo Carbanak.
SWIFT ha reso noto di essere informata dei fatti e di aver già notificato il pericolo ai propri utenti. Per il momento non ci sono elementi che suggeriscano la compromissione del network.

Gaia Bottà
Notizie collegate
5 Commenti alla Notizia SWIFT, seconda ondata di cyber-rapine
Ordina
  • < The Odinaff attackers’ use a variety of methods to break into the networks of targeted organizations.
    One of the most common methods of attack is through lure Office documents containing a malicious macro. If the recipient opts to enable macros, the macro will install the Odinaff Trojan on their computer. >

    dare la colpa agli utonti e' facile... ma avete idea di che porcherie ha combinato con queste 'macro' la M$, nei decenni? non credo. E' una mistura oscena di VBA,OLE,activex e sopratutto P-Code
    non+autenticato
  • - Scritto da: bubba
    > < The Odinaff attackers’ use a variety of methods
    > to break into the networks of targeted
    > organizations.
    >
    > One of the most common methods of attack is
    > through lure Office documents containing a
    > malicious macro. If the recipient opts to enable
    > macros, the macro will install the Odinaff Trojan
    > on their computer.
    > >
    >
    > dare la colpa agli utonti e' facile... ma avete
    > idea di che porcherie ha combinato con queste
    > 'macro' la M$, nei decenni? non credo. E' una
    > mistura oscena di VBA,OLE,activex e sopratutto
    > P-Code

    Per degli analisti che non sanno usare matlab (octave neanche lo vogliono vedere) l'unico modo per implementare certe funzioni è tramite macro in un foglio di calcolo. Visto che l'unico foglio di calcolo che si usain azienda è excel non c'è possibilità di scelta.
    non+autenticato
  • - Scritto da: drfxfezs
    > - Scritto da: bubba
    > > < The Odinaff attackers’ use a variety of
    > methods
    > > to break into the networks of targeted
    > > organizations.
    > >
    > > One of the most common methods of attack is
    > > through lure Office documents containing a
    > > malicious macro. If the recipient opts to enable
    > > macros, the macro will install the Odinaff
    > Trojan
    > > on their computer.
    > > >
    > >
    > > dare la colpa agli utonti e' facile... ma avete
    > > idea di che porcherie ha combinato con queste
    > > 'macro' la M$, nei decenni? non credo. E' una
    > > mistura oscena di VBA,OLE,activex e sopratutto
    > > P-Code
    >
    > Per degli analisti che non sanno usare matlab
    > (octave neanche lo vogliono vedere) l'unico modo
    > per implementare certe funzioni è tramite macro
    > in un foglio di calcolo. Visto che l'unico foglio
    > di calcolo che si usain azienda è excel non c'è
    > possibilità di
    > scelta.
    loso loso (grazie monopoloioCon la lingua fuori)... ma non e' umano che le macro possano contenere un livello di crapware complesso e ubiquo come quello.
    Non me la sento di spiegare e metto 2 link
    http://bontchev.nlcv.net/papers/upconv.html
    http://www.greyhathacker.net/?p=948
    M$ semplicemente dovrebbe dire 'abbiamo scherzato negli anni precedenti... eradichiamo OGNI compromesso, compatibilita', idea, antani col vecchio supporto (e vi forniamo un potente converter, per quanto possibile) e famo una roba ex-novo INTERNA AD OFFICE e SENZA ole,activex,vba,powershell,internette e epporcozzio'
    non+autenticato
  • - Scritto da: drfxfezs

    > per implementare certe funzioni è tramite macro
    > in un foglio di calcolo.

    questione di abitudine

    macro excel http://www.excel-easy.com/examples/chop-off-decima...

    script octave https://en.wikibooks.org/wiki/Octave_Programming_T...

    non sembrano molto diversi, ne' tantomeno i secondi sono incredibilmente complessi e/o astrusi

    semplicemente siamo di fronte ad uno dei tanti disastri prodotti dal monopolio ms

    questo intendevano i dirigenti di sun quando parlavano di blocco dell'innovazione nel settore IT
    non+autenticato
  • su sistemi windows hoooooooooooooooooooooooooo ste capre, quanti capperi con il sistema dei pigia topo. clic, clic, clic,clic.

    Il sistema dove devi sempre fare clic. (love win)
    non+autenticato