雷鋒網(wǎng)按，臭名昭著的黑客組織 MoneyTaker 膽子可真大，它們居然從戰(zhàn)斗民族的一家銀行偷了 100 萬(wàn)美元，而突破口就是一個(gè)過(guò)時(shí)的路由器。

這次遭到攻擊的是 PIR 銀行，它們丟了至少 92 萬(wàn)美元，這筆錢原本存在俄羅斯銀行的對(duì)應(yīng)賬戶中。

眼下，俄羅斯網(wǎng)絡(luò)安全公司 Group-IB 在負(fù)責(zé)此次黑客事件的調(diào)查，它們?cè)谘芯苛?PIR 銀行受感染的工作站和服務(wù)器后斷定，MoneyTaker 絕對(duì)是幕后主使，它們?cè)趯?shí)施攻擊后沒(méi)能擦掉自己的痕跡。

Group-IB 非常熟悉 MoneyTaker 的戰(zhàn)術(shù)，因?yàn)槿ツ?12 月時(shí)它們就通過(guò)一份報(bào)告扯下了 MoneyTaker 的面具。

除了 PIR 銀行這一票，MoneyTaker 還在美國(guó)、英國(guó)的銀行和金融機(jī)構(gòu)做過(guò)案，最早可追溯至 2016 年。Group-IB 指出，MoneyTaker 在攻擊銀行和金融機(jī)構(gòu)時(shí)主要專注于滲透銀行同業(yè)拆借和卡片處理系統(tǒng)，最倒霉的恐怕就是 First Data 公司的 STAR Network 和俄羅斯中央銀行（AWS CBR）系統(tǒng)的自動(dòng)工作站客戶端了。

這幫黑客簡(jiǎn)直是流程把控的大師

Group-IB 發(fā)現(xiàn)，這次 MoneyTaker 也是故技重施，今年 5 月底，它們通過(guò) PIR 銀行某支行的過(guò)時(shí)路由器成功對(duì)銀行的網(wǎng)絡(luò)進(jìn)行了滲透。

“路由器的信道出了問(wèn)題，讓攻擊者能直接訪問(wèn)銀行的本地網(wǎng)絡(luò)?！?nbsp;Group-IB 的安全專家解釋道?！斑@種攻擊方式簡(jiǎn)直就是 MoneyTaker 的標(biāo)簽，同樣的方法它們已經(jīng)用過(guò)至少三次了?！?/strong>

借助路由器這個(gè)突破口，黑客成功用惡意軟件感染了銀行的本地網(wǎng)絡(luò)。隨后只需借助 PowerShell 腳本，它們就能神不知鬼不覺(jué)的進(jìn)行自己的罪惡勾當(dāng)了。

在完成對(duì) PIR 銀行主網(wǎng)絡(luò)的滲透后，MoneyTaker 還成功接入了銀行的 AWS CBR 賬號(hào)，這樣一來(lái)它們就控制住了銀行的金融交易。

7 月 3 日，MoneyTaker 開始利用該系統(tǒng)向外轉(zhuǎn)錢了，它們從 PIR 銀行在俄羅斯銀行的賬戶中向預(yù)先開好的 17 個(gè)賬戶轉(zhuǎn)了 92 萬(wàn)美元。這些錢剛剛落袋，MoneyTaker 的人馬上就從俄羅斯各地的 ATM 機(jī)中將錢取走了，效率簡(jiǎn)直令人咋舌。

一天之后，PIR 銀行的雇員才發(fā)現(xiàn)銀行的賬號(hào)被搬空了，一切都為時(shí)已晚。

MoneyTaker 作案時(shí)，參與攻擊的黑客一般會(huì)清空受感染電腦上的日志來(lái)隱藏自己的行蹤。不過(guò)，這次 Group-IB 卻發(fā)現(xiàn)了黑客們?cè)L問(wèn)受感染計(jì)算機(jī)的馬腳。

今年 MoneyTaker 和俄羅斯銀行較上勁了

這可不是 MoneyTaker 今年第一次攻擊俄羅斯的銀行了，今年年初它們還得手了一次，不過(guò)最后卻沒(méi)能拿走自己的“勝利果實(shí)”。據(jù) Group-IB 統(tǒng)計(jì)，今年在俄羅斯至少還發(fā)生了 3 起類似事件，不過(guò)在調(diào)查結(jié)束前它們不會(huì)公布相關(guān)細(xì)節(jié)。Group-IB 相信，這其中至少有兩起是 MoneyTaker 所為。

事實(shí)上，MoneyTaker 的蹤跡追蹤起來(lái)相當(dāng)困難，因?yàn)樗鼈兿矚g使用常用的操作系統(tǒng)工具來(lái)執(zhí)行惡意攻擊，靠專門的惡意軟件發(fā)動(dòng)攻擊可不是它們的風(fēng)格。此外，它們作案后會(huì)清空日志，而且在發(fā)動(dòng)攻擊前會(huì)對(duì)受害銀行的網(wǎng)絡(luò)和系統(tǒng)進(jìn)行細(xì)致的研究。為了做到知己知彼，MoneyTaker 甚至?xí)崆氨I竊銀行文件來(lái)了解對(duì)方。

MoneyTaker 成軍三年時(shí)間里，至少已經(jīng)從銀行偷走了數(shù)千萬(wàn)美元。Group-IB 表示，MoneyTaker 在美國(guó)作案時(shí)，平均每次要帶走 50 萬(wàn)美元，而在俄羅斯這個(gè)數(shù)字會(huì)增加到 120 萬(wàn)美元。

雷鋒網(wǎng)發(fā)現(xiàn)，在過(guò)去三年里，MoneyTaker 黑了美國(guó) 15 家銀行，1 個(gè)美國(guó)的服務(wù)提供商，1 家英國(guó)銀行軟件公司，5 家俄羅斯銀行和 1 家俄羅斯法律公司。

 

雷鋒網(wǎng) Via. Bleeping Computer

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。