因使用老旧路由器 俄罗斯银行被盗百万美元

今年5月，俄国的黑客组织 MoneyTaker 通过攻击俄罗斯 PIR 银行使用的老旧路由器，盗走约100万美元，而在今年7月份银行人员才发现。

image

这个臭名昭著的黑客组织 MoneyTaker经常会对美国、俄罗斯、英国等国家的银行、金融机构发动攻击。

自2016年5月以来，MoneyTaker 黑客组织就针对美国加州、弗吉尼亚州、佛罗里达州等多个州的银行实施攻击，攻击对象主要针对网络防御措施有限的小型社区银行。

而此次对俄罗斯银行的攻击，致使PIR银行丢失存储在俄罗斯银行对应账户上的92万美元。俄罗斯网络安全公司Group-IB 调查后指出，经过对 PIR 银行受感染工作站和服务器的研究后，收集到了“证明 MoneyTaker 偷盗的无可辩驳的数字证据”。

image

Group-IB 是研究 MoneyTaker 攻击技术的专家，去年12月，该公司披露了 MoneyTaker 的存在及其活动。Group-IB 指出，MoneyTaker 黑客组织主要集中于渗透银行间转账和卡处理系统如 First Data STAR Network 和 AWS CBR（俄罗斯央行自动化工作站客户端）系统。

****MoneyTaker的攻击经过

Group-IB 公司的研究人员指出，这次黑客是在5月末通过该银行的一个区域支行使用的一款老旧路由器渗透到 PIR 银行的网络。“该路由器的隧道导致攻击者能够直接访问银行的本地网络。这种技术是 MoneyTaker 组织的一个特征。该组织在攻击区域性分支银行网络时至少已使用三次这样的技术。”

黑客随后利用这款路由器通过恶意软件感染银行的本地网络，随后使用 PowerShell 脚本获得可持续性并在未被检测到的情况下执行恶意行动。

黑客攻陷 PIR 银行的主网之后，他们的HIA获得访问 AWS CBR 账户的权限，用于控制金融交易。

image

7月3日，MoneyTaker 利用这个系统将存储在俄罗斯银行中 PIR 银行账户中的资金转移至提前创建的17个账户中。资金到账后，再通过俄罗斯境内的 ATM 提钱。

而在7月4日，PIR 银行员工才发现这起黑客事件，但为时已晚，交易已不可逆。

MoneyTaker 黑客组织一般试图从受感染计算机中清除日志隐藏行踪，但 Group-IB 表示已发现该组织用于访问受攻陷计算机的反向 shell。

** 今年在俄罗斯多次作案**

Group-IB 公司的数字取证实验室负责人 Valeriy Baulin 指出，这起事件并非MoneyTaker在2018年首次攻击俄罗斯银行，到目前已经至少发现三起类似事件，但在调查结束前Group-IB 公司无法提供更多详情。

Group-IB 公司表示该组织的活动难以追踪，因为黑客倾向于使用常见的OS工具执行恶意活动而非通过真正的恶意软件执行，他们还会清空日志并提前研究每家银行的网络和系统。

自2016年起，MoneyTaker 从银行偷盗数千万美元的资金。Group-IB 公司进一步表示在每次的攻击事件中，美国平均损失约50万美元，俄罗斯平均损失约120万美元。

转自360代码卫士www.codesafe.cn