金融後門Carbanak原始碼於VirusTotal上存在近兩年而未被發現

資安業者FireEye準備陸續公布遭到FIN7駭客集團所利用的金融後門程式Carbanak的功能與設計，同時透露Carbanak早在2017年4月就被上傳到惡意程式分析網站VirusTotal，卻直至去年10月才被該公司的研究人員發現。

FIN7為來自東歐的駭客集團，它是全球迄今最危險也最會賺錢的駭客集團，利用所開發的Carbanak後門程式滲透全球的金融與銀行機構，攻擊範圍覆蓋全球逾40個國家，包括台灣在內，估計造成金融產業逾10億歐元的損失。

歐洲刑警組織於2018年3月在西班牙逮到FIN7集團的首腦，美國則在同年3月逮捕了3名隸屬於FIN7集團的烏克蘭駭客，摧毀此一惡名昭彰的駭客集團。

有趣的是，FIN7所打造的Carbanak原始碼早在2017年4月就被上傳到VirusTotal，卻一直未被發現。VirusTotal是個免費的惡意軟體分析平台，全球資安人員可上傳惡意檔案進行分析，也能自該平台存取各種檔案，然而，龐大的資安社群卻未能辨識Carbanak。

一來可能是因為Carbanak的作者只用"bot"來稱呼它，二來每周有數百萬個檔案被上傳到VirusTotal，而且也要有一定的程度才能辨識出Carbanak。

不論如何，FireEye在找到並分析該後門程式的原始碼之後，確認它就是Carbanak，並計畫分成四梯次發表分析結果。

在FireEye已披露的分析報告中顯示，以俄文撰寫的Carbanak的檔案大小為20MB，內含755個檔案及10萬行程式，有39個二進位檔案。它在與遠端C&C伺服器交流時，採用更多元與靈活的方式，還能偵測及繞過系統上所安裝的防毒軟體，此外，Carbanak的原始碼中含有多種攻擊程式、密碼及多個C&C伺服器。