路由器再“助攻＂！黑客从俄罗斯一家银行“转走”百万美元

雷锋网按，臭名昭著的黑客组织MoneyTaker胆子可真大，它们居然从战斗民族的一家银行偷了 100万美元，而突破口就是一个过时的路由器。

这次遭到攻击的是PIR银行，它们丢了至少92万美元，这笔钱原本存在俄罗斯银行的对应账户中。

眼下，俄罗斯网络安全公司Group-IB在负责此次黑客事件的调查，它们在研究了PIR银行受感染的工作站和服务器后断定，MoneyTaker绝对是幕后主使，它们在实施攻击后没能擦掉自己的痕迹。

Group-IB非常熟悉MoneyTaker的战术，因为去年12月时它们就通过一份报告扯下了MoneyTaker的面具。

除了PIR银行这一票，MoneyTaker还在美国、英国的银行和金融机构做过案，最早可追溯至 2016 年。Group-IB指出，MoneyTaker在攻击银行和金融机构时主要专注于渗透银行同业拆借和卡片处理系统，最倒霉的恐怕就是First Data公司的STAR Network和俄罗斯中央银行（AWS CBR）系统的自动工作站客户端了。

这帮黑客简直是流程把控的大师

Group-IB发现，这次MoneyTaker也是故技重施，今年5月底，它们通过PIR银行某支行的过时路由器成功对银行的网络进行了渗透。

“路由器的信道出了问题，让攻击者能直接访问银行的本地网络。” Group-IB的安全专家解释道。“这种攻击方式简直就是MoneyTaker的标签，同样的方法它们已经用过至少三次了。”

借助路由器这个突破口，黑客成功用恶意软件感染了银行的本地网络。随后只需借助 PowerShell 脚本，它们就能神不知鬼不觉的进行自己的罪恶勾当了。

在完成对PIR银行主网络的渗透后，MoneyTaker还成功接入了银行的 AWS CBR 账号，这样一来它们就控制住了银行的金融交易。

7月 3 日，MoneyTaker开始利用该系统向外转钱了，它们从PIR银行在俄罗斯银行的账户中向预先开好的17个账户转了92万美元。这些钱刚刚落袋，MoneyTaker的人马上就从俄罗斯各地的ATM机中将钱取走了，效率简直令人咋舌。

一天之后，PIR银行的雇员才发现银行的账号被搬空了，一切都为时已晚。

MoneyTaker作案时，参与攻击的黑客一般会清空受感染电脑上的日志来隐藏自己的行踪。不过，这次Group-IB却发现了黑客们访问受感染计算机的马脚。

今年MoneyTaker和俄罗斯银行较上劲了

这可不是MoneyTaker今年第一次攻击俄罗斯的银行了，今年年初它们还得手了一次，不过最后却没能拿走自己的“胜利果实”。据Group-IB统计，今年在俄罗斯至少还发生了3起类似事件，不过在调查结束前它们不会公布相关细节。Group-IB相信，这其中至少有两起是MoneyTaker所为。

事实上，MoneyTaker的踪迹追踪起来相当困难，因为它们喜欢使用常用的操作系统工具来执行恶意攻击，靠专门的恶意软件发动攻击可不是它们的风格。此外，它们作案后会清空日志，而且在发动攻击前会对受害银行的网络和系统进行细致的研究。为了做到知己知彼，MoneyTaker甚至会提前盗窃银行文件来了解对方。

MoneyTaker成军三年时间里，至少已经从银行偷走了数千万美元。Group-IB表示，MoneyTaker在美国作案时，平均每次要带走50万美元，而在俄罗斯这个数字会增加到120万美元。

雷锋网发现，在过去三年里，MoneyTaker黑了美国15家银行，1个美国的服务提供商，1家英国银行软件公司，5家俄罗斯银行和1家俄罗斯法律公司。