【交易技术前沿】信息安全动态回顾 / 孙增

本文选自《交易技术前沿》第22期（2016年3月）。

孙增（编辑）
上交所技术公司规划部
Email:zsun@sse.com.cn

泰国曼谷汇商银行大厦灭火系统事故

3月13日21:30左右，曼谷SCB PARK 大厦 (泰国汇商银行总部) 发生严重事故，造成10人死亡、约15人受伤。该大厦地下层的自动灭火系统在没有发生任何火灾的情况下自动开启导致事故发生。
SCB 银行行长午夜赶到事发现场，宣布该事件是由于有工程承包商在大楼内作业，不慎触及 FM200 烟气型消防系统，导致发生大量烟雾, 死亡者是呛烟而死。据泰国警方初步调查发现，该事故并非爆炸或者火灾,是灭火系统误启动。由于负责检修大楼灭火系统的承包商错误操作，触发灭火系统自动开启，喷出的Pyrogen灭火剂将空气中的氧气强迫化合，迅速降低含氧量，使得室内空气缺氧导致多人窒息。
此事件暴露了该行信息安全管理比较混乱，主要在物理安全，应急响应和供应商管理方面。首先，该银行行长不清楚大厦里安装的FM200气体灭火系统具体的功能和作用；其次，消防设施存在重大安全缺陷和隐患；再次，应急处置措施不当；最后，厂家可能并未给出该灭火剂以及误动作喷放或者实际灭火后的实际危害，导致承包商在维护中不知道如何正确维护和保养系统。

黑客组织Buhtrap半年内成功攻击俄罗斯银行多达13次

自从2015年8月开始，黑客组织Buhtrap已经成功地发起了13次网络攻击，这些攻击对金融机构造成了至少18亿6千万卢布（约合2740万美元）的损失。最大的一次窃取了6亿卢布（880万美元），最小的金额为2560万卢布（37万美元）。
Buhtrap被证实只在俄罗斯和乌克兰出现过，因而它还没发展成为一种全球性的网络攻击。在那次攻击中，大约88%的目标是位于俄罗斯，而10%是位于乌克兰。分析师们根据这一特点，就将其与Anunak/Carbanak攻击行动联系在了一起，因为Anunak/Carbanak攻击行动也是针对俄罗斯和乌克兰而发动的。这种攻击的目标都是特定的，而不是通常的网络欺诈。在最后一次攻击中攻击者冒充FinCERT，即一个设立在俄罗斯银行专门应对金融网络攻击的部门。
Buhtrap采用的方法很统一，都是注册和目标很类似的域名，然后从那里租服务器，通过设置来避免自己的邮件被过滤掉。该组织修改了恶意软件，同时可以检测到目标的杀毒软件以及其它防御型战略。恶意软件跟踪每一个银行业务客户，恶意软件会下载一个合法的远程管理软件（LiteManager），然后通过欺骗行为来转移订单。

SlemBunk：以全球银行APP用户为目标的Android木马家族

FireEye的移动研究员近日发现了一系列Android木马程序，这些程序通过模仿33个全球金融管理机构和服务提供商的合法APP（包括31个银行应用和2个移动支付应用）执行一系列恶意行为，称之为“SlemBunk”。目前主要影响范围是美国、欧洲和亚太地区。
SlemBunk程序伪装成常见的、受欢迎的应用程序，首次运行后便隐藏在设备中，当用户打开特定银行或相似应用时，它可以实施钓鱼攻击并收集用户证书。可以确定的是，这些收集信息的服务器仍然活跃。
目前在Google应用商店中尚未发现SlemBunk实例，所以感染的用户可能是从恶意网站拷贝或下载的恶意软件。在很多色情网站中已经发现了新版本，这些网站会不断弹出提示，要求用户下载Adobe Flash观看色情影片，而用户实际下载的是恶意软件。
根据对SlemBunk的全面调查，已经发现了170多个样本，这些样本会表现出一系列特征和行为：

1、根据各种各样的金融管理服务而定制的登陆界面；
2、后台运行，监控正在运行的进程；
3、检测特定的合法应用的启动，智能显示对应的伪造的登录界面；
4、收集用户证书，并发送到远程C&C服务器；
5、收集敏感的设备信息发送到C&C服务器，包括电话号码、应用程序的安装列表、设备型号和操作系统版本。
6、接收并执行短信和网络流量中的命令；
7、借助管理员权限持续感染设备。

另外，根据与之前样本的对比，发现新版本中添加了更加先进的功能来支持其恶意行为，包括：

1、依靠远程服务器不断更改样本；
2、列表中添加了更多的金融服务应用，包括它们的登录界面和逻辑；
3、采用不同级别的模糊机制逃避检测。

上海发布金融信息安全技术指引

上海金融信息行业协会3月15日发布《互联网金融网络与信息安全技术指引》，指导企业信息安全建设、规范行业自律，加强金融消费者权益保护。上海市互联网金融信息安全公共服务平台也同时启动。
“随着金融信息行业规模和影响逐渐扩大，企业金融数据和客户信息的安全保护就显得日益重要。金融信息行业企业也要提升自律经营意识，切实保障金融消费者的合法权益。”上海金融信息行业协会会长邢波说。
该指引主要内容涉及：信息安全合规性、信息安全动态保障、客户信息安全及权益保护三个大方面。据介绍，指引将首先在上海20多家传统金融机构及互联网企业试点施行。
同期，上海市互联网金融信息安全公共服务平台启动，旨在通过整合情报系统、在线测评、实时观测以及各类个性化安全服务，建立行业信息安全共享和漏洞解决机制，提升上海市金融信息行业的风险防范能力。

免责声明

本公众号内容仅供参考。对任何因直接或间接使用本公众号内容而造成的损失，包括但不限于因有关内容不准确、不完整而导致的损失，本公众号不承担任何法律责任。如有问题请反馈至tech_support@sse.com.cn。

--------------------------
上海证券交易所为证券公司、基金管理公司等市场参与者及相关行业机构提供交易技术支持与服务，包括日常交易技术支持、技术交流研讨、市场调查反馈、证券信息技术知识库、测试等服务。