SWIFT, seconda ondata di cyber-rapine

Un secondo gruppo di criminali abusa del circuito di pagamenti internazionale per le proprie operazioni truffaldine. Si serve di un trojan denominato Odinaff, e di altro malware già nell'arsenale del gruppo Carbanak
Un secondo gruppo di criminali abusa del circuito di pagamenti internazionale per le proprie operazioni truffaldine. Si serve di un trojan denominato Odinaff, e di altro malware già nell'arsenale del gruppo Carbanak

Sono trascorsi solo pochi mesi dallo scoperchiamento del vaso di Pandora degli attacchi condotti ai danni del circuito di pagamento internazionale SWIFT, individuati con la sventata operazione di cybercrime ai danni della Banca Centrale del Bangladesh. I ricercatori di Symantec hanno ora segnalato che il gruppo di cybercriminali operativo nei mesi scorsi non è l’unico ad aver insidiato il sistema di pagamenti interbancari.

Questa seconda gang è stata ricondotta all’impiego del trojan Odinaff e di sue varianti capaci di colpire macchine Windows, utilizzati fin dal mese di gennaio del 2016 per colpire un totale di un centinaio di organizzazioni che operano in ambito bancario e finanziario soprattutto negli USA, ma anche ad Hong Kong, in Australia, Regno Unito e Ucraina. Odinaff, inoculato nelle macchine obiettivo dell’attacco tramite campagne email mirate con allegati infetti o tramite altri malware già ospitati dai sistemi target, permette ai cybercriminali di monitorare quanto avviene sul sistema colpito e di impartire ordini, fra cui l’installazione di ulteriore codice per condurre gli attacchi. Codice che consente ad esempio di intercettare messaggi formattati con standard SWIFT sulla base degli IBAN coinvolti o di altri dettagli relativi alle transazioni, e che consente di occultarli al sistema ospite, così da far perdere le tracce delle transazioni fraudolente, oppure che permette di rimuovere qualsiasi elemento che possa ricondurre ai malware, una volta esaurita la loro funzione.

Sono alcuni di questi dettagli a suggerire a Symantec di tracciare un collegamento tra l’attività dei cybercriminali che hanno sfruttato il trojan Odinaff per condurre attacchi al network SWIFT e quelle del gruppo denominato Carbanak , cybergang individuata da Kaspersky nel 2015. Comuni alle campagne dei due gruppi, parte dei toolkit utilizzati, alcuni indirizzi IP relativi ai centri di comando e controllo delle operazioni malevole, un indirizzo IP già impiegato per l’ attacco ai POS MICROS di Oracle, attribuito al gruppo Carbanak.

SWIFT ha reso noto di essere informata dei fatti e di aver già notificato il pericolo ai propri utenti. Per il momento non ci sono elementi che suggeriscano la compromissione del network.

Gaia Bottà

Link copiato negli appunti

Ti potrebbe interessare

14 10 2016
Link copiato negli appunti