雷鋒網按, 臭名昭著的黑客組織MoneyTaker膽子可真大, 它們居然從戰鬥民族的一家銀行偷了 100萬美元, 而突破口就是一個過時的路由器.
這次遭到攻擊的是PIR銀行, 它們丟了至少92萬美元, 這筆錢原本存在俄羅斯銀行的對應賬戶中.
眼下, 俄羅斯網路安全公司Group-IB在負責此次黑客事件的調查, 它們在研究了PIR銀行受感染的工作站和伺服器後斷定, MoneyTaker絕對是幕後主使, 它們在實施攻擊後沒能擦掉自己的痕迹.
Group-IB非常熟悉MoneyTaker的戰術, 因為去年12月時它們就通過一份報告扯下了MoneyTaker的面具.
除了PIR銀行這一票, MoneyTaker還在美國, 英國的銀行和金融機構做過案, 最早可追溯至 2016 年. Group-IB指出, MoneyTaker在攻擊銀行和金融機構時主要專註於滲透銀行同業拆借和卡片處理系統, 最倒黴的恐怕就是First Data公司的STAR Network和俄羅斯中央銀行 (AWS CBR) 系統的自動工作站客戶端了.
這幫黑客簡直是流程把控的大師
Group-IB發現, 這次MoneyTaker也是故技重施, 今年5月底, 它們通過PIR銀行某支行的過時路由器成功對銀行的網路進行了滲透.
'路由器的通道出了問題, 讓攻擊者能直接訪問銀行的本地網路. ' Group-IB的安全專家解釋道. '這種攻擊方式簡直就是MoneyTaker的標籤, 同樣的方法它們已經用過至少三次了. '
藉助路由器這個突破口, 黑客成功用惡意軟體感染了銀行的本地網路. 隨後只需藉助 PowerShell 指令碼或直譯式程式, 它們就能神不知鬼不覺的進行自己的罪惡勾當了.
在完成對PIR銀行主網路的滲透後, MoneyTaker還成功接入了銀行的 AWS CBR 賬號, 這樣一來它們就控制住了銀行的金融交易.
7月 3 日, MoneyTaker開始利用該系統向外轉錢了, 它們從PIR銀行在俄羅斯銀行的賬戶中向預先開好的17個賬戶轉了92萬美元. 這些錢剛剛落袋, MoneyTaker的人馬上就從俄羅斯各地的ATM機中將錢取走了, 效率簡直令人咋舌.
一天之後, PIR銀行的僱員才發現銀行的賬號被搬空了, 一切都為時已晚.
MoneyTaker作案時, 參與攻擊的黑客一般會清空受感染電腦上的日誌來隱藏自己的行蹤. 不過, 這次Group-IB卻發現了黑客們訪問受感染計算機的馬腳.
今年MoneyTaker和俄羅斯銀行較上勁了
這可不是MoneyTaker今年第一次攻擊俄羅斯的銀行了, 今年年初它們還得手了一次, 不過最後卻沒能拿走自己的 '勝利果實' . 據Group-IB統計, 今年在俄羅斯至少還發生了3起類似事件, 不過在調查結束前它們不會公布相關細節. Group-IB相信, 這其中至少有兩起是MoneyTaker所為.
事實上, MoneyTaker的蹤跡追蹤起來相當困難, 因為它們喜歡使用常用的作業系統工具來執行惡意攻擊, 靠專門的惡意軟體發動攻擊可不是它們的風格. 此外, 它們作案後會清空日誌, 而且在發動攻擊前會對受害銀行的網路和系統進行細緻的研究. 為了做到知己知彼, MoneyTaker甚至會提前盜竊銀行檔案來了解對方.
MoneyTaker成軍三年時間裡, 至少已經從銀行偷走了數千萬美元. Group-IB表示, MoneyTaker在美國作案時, 平均每次要帶走50萬美元, 而在俄羅斯這個數字會增加到120萬美元.
雷鋒網發現, 在過去三年裡, MoneyTaker黑了美國15家銀行, 1個美國的服務提供商, 1家英國銀行軟體公司, 5家俄羅斯銀行和1家俄羅斯法律公司.