雷鋒網按，臭名昭著的黑客組織 MoneyTaker 膽子可真大，它們居然從戰(zhàn)斗民族的一家銀行偷了 100 萬美元，而突破口就是一個過時的路由器。

這次遭到攻擊的是 PIR 銀行，它們丟了至少 92 萬美元，這筆錢原本存在俄羅斯銀行的對應賬戶中。

眼下，俄羅斯網絡安全公司 Group-IB 在負責此次黑客事件的調查，它們在研究了 PIR 銀行受感染的工作站和服務器后斷定，MoneyTaker 絕對是幕后主使，它們在實施攻擊后沒能擦掉自己的痕跡。

Group-IB 非常熟悉 MoneyTaker 的戰(zhàn)術，因為去年 12 月時它們就通過一份報告扯下了 MoneyTaker 的面具。

除了 PIR 銀行這一票，MoneyTaker 還在美國、英國的銀行和金融機構做過案，最早可追溯至 2016 年。Group-IB 指出，MoneyTaker 在攻擊銀行和金融機構時主要專注于滲透銀行同業(yè)拆借和卡片處理系統，最倒霉的恐怕就是 First Data 公司的 STAR Network 和俄羅斯中央銀行（AWS CBR）系統的自動工作站客戶端了。

這幫黑客簡直是流程把控的大師

Group-IB 發(fā)現，這次 MoneyTaker 也是故技重施，今年 5 月底，它們通過 PIR 銀行某支行的過時路由器成功對銀行的網絡進行了滲透。

“路由器的信道出了問題，讓攻擊者能直接訪問銀行的本地網絡。” Group-IB 的安全專家解釋道?！斑@種攻擊方式簡直就是 MoneyTaker 的標簽，同樣的方法它們已經用過至少三次了。”

借助路由器這個突破口，黑客成功用惡意軟件感染了銀行的本地網絡。隨后只需借助 PowerShell 腳本，它們就能神不知鬼不覺的進行自己的罪惡勾當了。

在完成對 PIR 銀行主網絡的滲透后，MoneyTaker 還成功接入了銀行的 AWS CBR 賬號，這樣一來它們就控制住了銀行的金融交易。

7 月 3 日，MoneyTaker 開始利用該系統向外轉錢了，它們從 PIR 銀行在俄羅斯銀行的賬戶中向預先開好的 17 個賬戶轉了 92 萬美元。這些錢剛剛落袋，MoneyTaker 的人馬上就從俄羅斯各地的 ATM 機中將錢取走了，效率簡直令人咋舌。

一天之后，PIR 銀行的雇員才發(fā)現銀行的賬號被搬空了，一切都為時已晚。

MoneyTaker 作案時，參與攻擊的黑客一般會清空受感染電腦上的日志來隱藏自己的行蹤。不過，這次 Group-IB 卻發(fā)現了黑客們訪問受感染計算機的馬腳。

今年 MoneyTaker 和俄羅斯銀行較上勁了

這可不是 MoneyTaker 今年第一次攻擊俄羅斯的銀行了，今年年初它們還得手了一次，不過最后卻沒能拿走自己的“勝利果實”。據 Group-IB 統計，今年在俄羅斯至少還發(fā)生了 3 起類似事件，不過在調查結束前它們不會公布相關細節(jié)。Group-IB 相信，這其中至少有兩起是 MoneyTaker 所為。

事實上，MoneyTaker 的蹤跡追蹤起來相當困難，因為它們喜歡使用常用的操作系統工具來執(zhí)行惡意攻擊，靠專門的惡意軟件發(fā)動攻擊可不是它們的風格。此外，它們作案后會清空日志，而且在發(fā)動攻擊前會對受害銀行的網絡和系統進行細致的研究。為了做到知己知彼，MoneyTaker 甚至會提前盜竊銀行文件來了解對方。

MoneyTaker 成軍三年時間里，至少已經從銀行偷走了數千萬美元。Group-IB 表示，MoneyTaker 在美國作案時，平均每次要帶走 50 萬美元，而在俄羅斯這個數字會增加到 120 萬美元。

雷鋒網發(fā)現，在過去三年里，MoneyTaker 黑了美國 15 家銀行，1 個美國的服務提供商，1 家英國銀行軟件公司，5 家俄羅斯銀行和 1 家俄羅斯法律公司。

 

雷鋒網 Via. Bleeping Computer

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。