Dell SecureWorks最近检测到了针对多家俄罗斯银行和支付服务提供商的网络攻击行为,而且这波攻击行为正在进行中。据说,本次攻击的幕后黑客当前或许 正在运行一个非常大型的僵尸网络,大面积覆盖了Tinda 2.0银行木马,这个僵尸网络会将银行和支付用户的信息汇总回传给黑客。 Tinda在网络安全领域是比较知名的安全威胁,这种木马已经活跃了好几年时间,主要遍布在日本、欧洲和北美。不过Tinda 1.0的源码已经于去年泄露,所以绝大部分黑客组织已经不再使用Tinda 1.0。所以不久Tinda 2.0就浮出水面。 Tinda 2.0一直在黑市上作为僵尸网络套装出售,购买了Tinda 2.0套装的人都可以构建起自己的C&C服务器,以各种安全和认证方式,防止被轻易检测到,而且能够针对特定的目标。绝大部分Tinda攻击被控制得很好,仅针对小范围区域几家银行,或者有限几个类型的用户。 而Dell SecureWorks检测到的本次攻击针对的是俄罗斯的银行和支付服务提供商——很多类似的僵尸网络会避免以俄罗斯作为目标,因为绝大部分黑客组织本身就驻扎在俄罗斯,所以不愿意得罪所在地的相关部门,Dell SecureWorks检测到的这波攻击算是个例外。 之前有家黑客组织没有遵循这种“潜规则”,该组织名为Carberp。2013年他们就将俄罗斯银行作为目标,当局很快就抓捕了28岁的领头人。 Dell表示,本次攻击的传播方式主要是通过电子邮件,还有类似Angler、Neutrino和Nuclear这样的工具。计算机被感染以后,Tinda就会开始记录各种相关金融的操作,并将数据回传到C&C服务器,黑客可将之用于欺诈性交易。
