雷锋网按,臭名昭著的黑客组织 MoneyTaker 胆子可真大,它们居然从战斗民族的一家银行偷了 100 万美元,而突破口就是一个过时的路由器。
这次遭到攻击的是 PIR 银行,它们丢了至少 92 万美元,这笔钱原本存在俄罗斯银行的对应账户中。
眼下,俄罗斯网络安全公司 Group-IB 在负责此次黑客事件的调查,它们在研究了 PIR 银行受感染的工作站和服务器后断定,MoneyTaker 绝对是幕后主使,它们在实施攻击后没能擦掉自己的痕迹。
Group-IB 非常熟悉 MoneyTaker 的战术,因为去年 12 月时它们就通过一份报告扯下了 MoneyTaker 的面具。
除了 PIR 银行这一票,MoneyTaker 还在美国、英国的银行和金融机构做过案,最早可追溯至 2016 年。Group-IB 指出,MoneyTaker 在攻击银行和金融机构时主要专注于渗透银行同业拆借和卡片处理系统,最倒霉的恐怕就是 First Data 公司的 STAR Network 和俄罗斯中央银行(AWS CBR)系统的自动工作站客户端了。
Group-IB 发现,这次 MoneyTaker 也是故技重施,今年 5 月底,它们通过 PIR 银行某支行的过时路由器成功对银行的网络进行了渗透。
“路由器的信道出了问题,让攻击者能直接访问银行的本地网络。” Group-IB 的安全专家解释道。“这种攻击方式简直就是 MoneyTaker 的标签,同样的方法它们已经用过至少三次了。”
借助路由器这个突破口,黑客成功用恶意软件感染了银行的本地网络。随后只需借助 PowerShell 脚本,它们就能神不知鬼不觉的进行自己的罪恶勾当了。
在完成对 PIR 银行主网络的渗透后,MoneyTaker 还成功接入了银行的 AWS CBR 账号,这样一来它们就控制住了银行的金融交易。
7 月 3 日,MoneyTaker 开始利用该系统向外转钱了,它们从 PIR 银行在俄罗斯银行的账户中向预先开好的 17 个账户转了 92 万美元。这些钱刚刚落袋,MoneyTaker 的人马上就从俄罗斯各地的 ATM 机中将钱取走了,效率简直令人咋舌。
一天之后,PIR 银行的雇员才发现银行的账号被搬空了,一切都为时已晚。
MoneyTaker 作案时,参与攻击的黑客一般会清空受感染电脑上的日志来隐藏自己的行踪。不过,这次 Group-IB 却发现了黑客们访问受感染计算机的马脚。
这可不是 MoneyTaker 今年第一次攻击俄罗斯的银行了,今年年初它们还得手了一次,不过最后却没能拿走自己的“胜利果实”。据 Group-IB 统计,今年在俄罗斯至少还发生了 3 起类似事件,不过在调查结束前它们不会公布相关细节。Group-IB 相信,这其中至少有两起是 MoneyTaker 所为。
事实上,MoneyTaker 的踪迹追踪起来相当困难,因为它们喜欢使用常用的操作系统工具来执行恶意攻击,靠专门的恶意软件发动攻击可不是它们的风格。此外,它们作案后会清空日志,而且在发动攻击前会对受害银行的网络和系统进行细致的研究。为了做到知己知彼,MoneyTaker 甚至会提前盗窃银行文件来了解对方。
MoneyTaker 成军三年时间里,至少已经从银行偷走了数千万美元。Group-IB 表示,MoneyTaker 在美国作案时,平均每次要带走 50 万美元,而在俄罗斯这个数字会增加到 120 万美元。
雷锋网发现,在过去三年里,MoneyTaker 黑了美国 15 家银行,1 个美国的服务提供商,1 家英国银行软件公司,5 家俄罗斯银行和 1 家俄罗斯法律公司。
雷锋网 Via. Bleeping Computer