Вредоносная программа, использованная в ходе недавних кибернападений на систему SWIFT, может иметь отношение ко взлому внутренней сети Sony Pictures Entertainment, произошедшему в 2014 году.
Эксперты BAE Systems выяснили в ходе проведенного ими анализа, что в обоих случаях вредоносное программное обеспечение содержит компонент msoutc.exe, который применяется для маскировки хакерской активности.
При проникновении на компьютер вредоносная программа проводит проверку системы на предмет наличия своих копий. В случае, если они будут обнаружены, то программа запускает скрипт для самоуничтожения. Как утверждают эксперты BAE Systems Сергей Шевченко и Адриан Ниш, msoutc.exe применяет ключ шифрования, который аналогичен внедренному в SMB Worm Tool – вредоносной программе, использовавшейся киберпреступниками при взломе сети Sony Pictures Entertainment.
Как указано в отчете компании Novetta, ответственность за нападение на Sony Pictures Entertainment несет кибергруппировка Lazarus APT. Во время взлома хакеры пользовались вредоносным программным обеспечением Sierra Charlie для того, чтобы получить доступ к корпоративным устройствам. В ходе сравнительного анализа выяснилось, что в Sierra Charlie и msoutc.exe используются похожие скрипты для уничтожения следов проникновения хакеров в систему. Как сообщают эксперты BAE Systems, этот код не находится в открытом доступе. Это дает исследователям возможность предполагать, что за кибератаки на Sony Pictures Entertainment и SWIFT несут ответственность одни и те же люди.