路由器再「助攻"！黑客從俄羅斯一家銀行「轉走」百萬美元

雷鋒網按，臭名昭著的黑客組織 MoneyTaker 膽子可真大，它們居然從戰鬥民族的一家銀行偷了 100 萬美元，而突破口就是一個過時的路由器。

這次遭到攻擊的是 PIR 銀行，它們丟了至少 92 萬美元，這筆錢原本存在俄羅斯銀行的對應賬戶中。

眼下，俄羅斯網路安全公司 Group-IB 在負責此次黑客事件的調查，它們在研究了 PIR 銀行受感染的工作站和伺服器後斷定，MoneyTaker 絕對是幕後主使，它們在實施攻擊後沒能擦掉自己的痕迹。

Group-IB 非常熟悉 MoneyTaker 的戰術，因為去年 12 月時它們就通過一份報告扯下了 MoneyTaker 的面具。

除了 PIR 銀行這一票，MoneyTaker 還在美國、英國的銀行和金融機構做過案，最早可追溯至 2016 年。Group-IB 指出，MoneyTaker 在攻擊銀行和金融機構時主要專註於滲透銀行同業拆借和卡片處理系統，最倒霉的恐怕就是 First Data 公司的 STAR Network 和俄羅斯中央銀行（AWS CBR）系統的自動工作站客戶端了。

這幫黑客簡直是流程把控的大師

Group-IB 發現，這次 MoneyTaker 也是故技重施，今年 5 月底，它們通過 PIR 銀行某支行的過時路由器成功對銀行的網路進行了滲透。

「路由器的信道出了問題，讓攻擊者能直接訪問銀行的本地網路。」 Group-IB 的安全專家解釋道。「這種攻擊方式簡直就是 MoneyTaker 的標籤，同樣的方法它們已經用過至少三次了。」

藉助路由器這個突破口，黑客成功用惡意軟體感染了銀行的本地網路。隨後只需藉助 PowerShell 腳本，它們就能神不知鬼不覺的進行自己的罪惡勾當了。

在完成對 PIR 銀行主網路的滲透後，MoneyTaker 還成功接入了銀行的 AWS CBR 賬號，這樣一來它們就控制住了銀行的金融交易。

7 月 3 日，MoneyTaker 開始利用該系統向外轉錢了，它們從 PIR 銀行在俄羅斯銀行的賬戶中向預先開好的 17 個賬戶轉了 92 萬美元。這些錢剛剛落袋，MoneyTaker 的人馬上就從俄羅斯各地的 ATM 機中將錢取走了，效率簡直令人咋舌。

一天之後，PIR 銀行的僱員才發現銀行的賬號被搬空了，一切都為時已晚。

MoneyTaker 作案時，參與攻擊的黑客一般會清空受感染電腦上的日誌來隱藏自己的行蹤。不過，這次 Group-IB 卻發現了黑客們訪問受感染計算機的馬腳。

今年 MoneyTaker 和俄羅斯銀行較上勁了

這可不是 MoneyTaker 今年第一次攻擊俄羅斯的銀行了，今年年初它們還得手了一次，不過最後卻沒能拿走自己的「勝利果實」。據 Group-IB 統計，今年在俄羅斯至少還發生了 3 起類似事件，不過在調查結束前它們不會公布相關細節。Group-IB 相信，這其中至少有兩起是 MoneyTaker 所為。

事實上，MoneyTaker 的蹤跡追蹤起來相當困難，因為它們喜歡使用常用的操作系統工具來執行惡意攻擊，靠專門的惡意軟體發動攻擊可不是它們的風格。此外，它們作案後會清空日誌，而且在發動攻擊前會對受害銀行的網路和系統進行細緻的研究。為了做到知己知彼，MoneyTaker 甚至會提前盜竊銀行文件來了解對方。

MoneyTaker 成軍三年時間裡，至少已經從銀行偷走了數千萬美元。Group-IB 表示，MoneyTaker 在美國作案時，平均每次要帶走 50 萬美元，而在俄羅斯這個數字會增加到 120 萬美元。

雷鋒網發現，在過去三年里，MoneyTaker 黑了美國 15 家銀行，1 個美國的服務提供商，1 家英國銀行軟體公司，5 家俄羅斯銀行和 1 家俄羅斯法律公司。

雷鋒網 Via.Bleeping Computer

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！