圖片來源: 

維基共享資源;作者:Jericho

安全公司Group-IB發現, 一個俄國駭客組織一年來入侵銀行轉帳網路,至少18家美國、俄羅斯銀行遭自ATM盜領現金近1000萬美元。

俄籍安全研究公司Group-IB研究人員指出,一家被稱為MoneyTaker的俄國駭客組織自去年春天開始,暗中使用同名惡意程式針對美國、英國及俄羅斯金融機構及法律事務所發動超過20次攻擊。其中可確認其中16次攻擊美國企業,俄國及英國則分別遭到3次和1次攻擊。

該團體於2016年春天首先入侵First Data的STAR網路入口網站的用戶帳密,藉此成功竊走為數不詳的金錢。STAR為全美第一大ATM轉帳訊息網路,連結超過5,000家銀行的ATM,並在拉丁美洲受到廣泛使用。其他受害者包括俄羅斯的AW CRB網路,甚至可能有SWIFT。此外也曾入侵美國包括加州、佛州、猶他等11州的銀行。

路透社報導,駭客經過精心策劃從轉帳網路攔截付款指令後,再派車手到ATM盜領現金,估計18個月來至少有18家銀行受害,共被領走將近1,000萬美元。而美國14起ATM盜領案中平均一次損失50萬美元,而俄國銀行平均被領走120萬美元。

目前MoneyTaker背後組織身份不明,Group-IB研究人員指出,該組織用以發動攻擊的全是很容易公開取得的工具,這使得調查加倍困難。目前得知該集團使用Metasploit等滲透內部網路,並運用SSL加密保護C&C伺服器及潛伏的Meterpreter之間的指令。此外也曾用Citadel及Kronos等常見的銀行木馬,來植入ScanPOS等惡意程式。

駭客透過取得銀行的管理員文件、內部法規及命令、變更申請表、交易紀錄檔等,藉此熟悉銀行的內部作業流程,為將來攻擊做準備。例如一份如何利用SWIFT轉帳的文件,根據內容及地理區判斷,拉丁美洲銀行是MoneyTaker下一階段攻擊目標。另外,研究人員也發現,駭客會在犯案後持續觀察受害銀行,且傳送公司郵件和其他檔案到Yandex及Mail.ru等免費郵件服務。

研究人員已經將MoneyTaker的資料交給歐盟刑警組織(Europol)及國際刑警組織(Interpol)。

鎖定銀行的ATM搶案屢見不鮮。國內第一銀行也在去年7月遭東歐駭客駭入ATM網路,34台ATM被遙控吐鈔7,000多萬元。今年俄羅斯銀行也發生ATM被駭吐鈔,事後幾乎找不到跡證。


Advertisement

更多 iThome相關內容