4月4日(米国時間)、Threatpostに掲載された記事「Lessons From Top-to-Bottom Compromise of Brazilian Bank |Threatpost|The first stop for security news」が、2016年10月からほぼ3カ月にわたりブラジルの銀行に対して行われたサイバー攻撃の全容について伝えた。一見するとサイトハイジャックのように見えるサイバー攻撃だったが、ドメインの乗っ取り、電子メールの乗っ取り、DNSの乗っ取りなど、広範囲に渡って攻撃が実施されていたという。
これは、Kaspersky Labの研究者であるFabio Assolini氏とDmitry Bestuzhev氏が、Kaspersky Labが開催したSecurity Analyst Summitで明らかにしたもの。
彼らは攻撃の前日にはフリーの認証局によって発行されたSSL証明書が使われていることを発見。オンライン、モバイル、POS、資金調達、買収などに関連する36のドメインが攻撃者の制御下に置かれていたという。利用されていたマルウェアはいくつかのモジュールで構成されており、これらのモジュールはカナダで稼働している統制サーバと通信していたことも明らかになっている。
攻撃者はこうした攻撃を通じてオペレーションハイジャックを狙っていたほか、ほかの国の銀行から資金を引き出すためのマルウェアの配布も行っていただろうと説明がある。サイバー攻撃はより大規模化が進んでおり、同様の手口が複数の国や地域で同時に発生するといった事態が出てきている。今後も同様の攻撃が実施される可能性がある。
