雷鋒網(wǎng)按，臭名昭著的黑客組織 MoneyTaker 膽子可真大，它們居然從戰(zhàn)斗民族的一家銀行偷了 100 萬美元，而突破口就是一個過時的路由器。

這次遭到攻擊的是 PIR 銀行，它們丟了至少 92 萬美元，這筆錢原本存在俄羅斯銀行的對應(yīng)賬戶中。

眼下，俄羅斯網(wǎng)絡(luò)安全公司 Group-IB 在負(fù)責(zé)此次黑客事件的調(diào)查，它們在研究了 PIR 銀行受感染的工作站和服務(wù)器后斷定，MoneyTaker 絕對是幕后主使，它們在實施攻擊后沒能擦掉自己的痕跡。

Group-IB 非常熟悉 MoneyTaker 的戰(zhàn)術(shù)，因為去年 12 月時它們就通過一份報告扯下了 MoneyTaker 的面具。

除了 PIR 銀行這一票，MoneyTaker 還在美國、英國的銀行和金融機構(gòu)做過案，最早可追溯至 2016 年。Group-IB 指出，MoneyTaker 在攻擊銀行和金融機構(gòu)時主要專注于滲透銀行同業(yè)拆借和卡片處理系統(tǒng)，最倒霉的恐怕就是 First Data 公司的 STAR Network 和俄羅斯中央銀行（AWS CBR）系統(tǒng)的自動工作站客戶端了。

這幫黑客簡直是流程把控的大師

Group-IB 發(fā)現(xiàn)，這次 MoneyTaker 也是故技重施，今年 5 月底，它們通過 PIR 銀行某支行的過時路由器成功對銀行的網(wǎng)絡(luò)進行了滲透。

“路由器的信道出了問題，讓攻擊者能直接訪問銀行的本地網(wǎng)絡(luò)?！?nbsp;Group-IB 的安全專家解釋道?！斑@種攻擊方式簡直就是 MoneyTaker 的標(biāo)簽，同樣的方法它們已經(jīng)用過至少三次了?！?/strong>

借助路由器這個突破口，黑客成功用惡意軟件感染了銀行的本地網(wǎng)絡(luò)。隨后只需借助 PowerShell 腳本，它們就能神不知鬼不覺的進行自己的罪惡勾當(dāng)了。

在完成對 PIR 銀行主網(wǎng)絡(luò)的滲透后，MoneyTaker 還成功接入了銀行的 AWS CBR 賬號，這樣一來它們就控制住了銀行的金融交易。

7 月 3 日，MoneyTaker 開始利用該系統(tǒng)向外轉(zhuǎn)錢了，它們從 PIR 銀行在俄羅斯銀行的賬戶中向預(yù)先開好的 17 個賬戶轉(zhuǎn)了 92 萬美元。這些錢剛剛落袋，MoneyTaker 的人馬上就從俄羅斯各地的 ATM 機中將錢取走了，效率簡直令人咋舌。

一天之后，PIR 銀行的雇員才發(fā)現(xiàn)銀行的賬號被搬空了，一切都為時已晚。

MoneyTaker 作案時，參與攻擊的黑客一般會清空受感染電腦上的日志來隱藏自己的行蹤。不過，這次 Group-IB 卻發(fā)現(xiàn)了黑客們訪問受感染計算機的馬腳。

今年 MoneyTaker 和俄羅斯銀行較上勁了

這可不是 MoneyTaker 今年第一次攻擊俄羅斯的銀行了，今年年初它們還得手了一次，不過最后卻沒能拿走自己的“勝利果實”。據(jù) Group-IB 統(tǒng)計，今年在俄羅斯至少還發(fā)生了 3 起類似事件，不過在調(diào)查結(jié)束前它們不會公布相關(guān)細(xì)節(jié)。Group-IB 相信，這其中至少有兩起是 MoneyTaker 所為。

事實上，MoneyTaker 的蹤跡追蹤起來相當(dāng)困難，因為它們喜歡使用常用的操作系統(tǒng)工具來執(zhí)行惡意攻擊，靠專門的惡意軟件發(fā)動攻擊可不是它們的風(fēng)格。此外，它們作案后會清空日志，而且在發(fā)動攻擊前會對受害銀行的網(wǎng)絡(luò)和系統(tǒng)進行細(xì)致的研究。為了做到知己知彼，MoneyTaker 甚至?xí)崆氨I竊銀行文件來了解對方。

MoneyTaker 成軍三年時間里，至少已經(jīng)從銀行偷走了數(shù)千萬美元。Group-IB 表示，MoneyTaker 在美國作案時，平均每次要帶走 50 萬美元，而在俄羅斯這個數(shù)字會增加到 120 萬美元。

雷鋒網(wǎng)發(fā)現(xiàn)，在過去三年里，MoneyTaker 黑了美國 15 家銀行，1 個美國的服務(wù)提供商，1 家英國銀行軟件公司，5 家俄羅斯銀行和 1 家俄羅斯法律公司。

 

雷鋒網(wǎng) Via. Bleeping Computer

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。