Pesquisadores de segurança da Symantec descobriram pistas que sugerem que o malware usado por hackers para atacar vários bancos nos últimos meses através da plataforma de sistemas financeiros Swift, que está no centro do sistema financeiro global, tem ligação com a invasão aos computadores da Sony Pictures Entertainment, em 2014.
Pelo menos três bancos relataram ataques que resultaram em transferências fraudulentas por meio da rede Swift. Em fevereiro, hackers roubaram US$ 81 milhões do Banco Central de Bangladesh, depois que mensagens fraudulentas foram enviadas através da rede instruindo para que fosse feita uma transferência para uma conta nas Filipinas. Em maio, um banco vietnamita disse que tinha sido alvo de ataques e que teve de interromper uma transferência de US$ 1 milhão. No fim desse mês, a Reuters revelou que um terceiro banco, o Banco del Austro do Equador, também foi vítima de um ataque.
Todos os ataques foram feitos pelo método de engenharia social (uso da persuasão para conseguir acesso a informações confidenciais ou a áreas importantes de uma instituição) e também com conhecimento técnico. Após obterem acesso à rede Swift, os hackers enviaram mensagens aos bancos centrais pedindo que os fundos fossem transferidos. O caso do Banco Central de Bangladesh só veio à tona porque houve um erro de digitação em uma das instruções alertado um funcionário.
Para ter acesso à rede, os hackers usaram um tipo específico de malware, apelidado pela Symantec de Trojan.Banswift. A empresa de segurança analisou o malware usado no ataque ao Banco Central de Bangladesh, e encontrou o que descreve como "um código de limpeza de arquivos exclusivo". A forma como os arquivos de software foram excluídos era semelhante a que a empresa já tinha visto em outro pedaço de malware, uma espécie chamada Backdoor.Contopee, que havia sido usado para invadir organizações financeiras no sudeste da Ásia.
A Symantec diz acreditar que código de limpeza de arquivos foi compartilhado pelo malware e o fato de o Backdoor.Contopee estar sendo usado em ataques direcionados contra instituições financeiras da região leva a deduzir que as ferramentas são do mesmo grupo. Isso significa que os hackers, que ganharam notoriedade com o roubo ao Banco Central de Bangladesh, podem ter atacado instituições financeiras por muito mais tempo do que se pensava.
O Backdoor.Contopee foi utilizado anteriormente por um grupo conhecido como Lazarus, que tem atacado operações de negócios e comerciais em todo os Estados Unidos e Coreia do Sul nos últimos seis anos. O grupo usou outro pedaço de software, o Backdoor.Destover, para o ataque à Sony Pictures, que o FBI atribuiu ao governo norte-coreano.
A Swift prometeu melhorar a segurança. De acordo com a revista Information Security, o CEO plataforma de sistemas financeiros, Gottfried Leibbrandt, propõe um novo plano para mudar e melhorar a rede. "Os bancos podem aprender um do outro acerca do modus operandi dos hackers e adotar medidas preventivas. A Swift pode servir como um canal de compartilhamento de informação e desenvolver indicadores para ajudar os bancos a melhorar as suas capacidades de investigação."
