首先，簡(jiǎn)要介紹一下這起案例的大致背景情況。MoneyTaker黑客組織從今年五月份就開(kāi)始著手對(duì)俄羅斯PIR Bank 銀行進(jìn)行攻擊。最初該組織發(fā)現(xiàn)該銀行某個(gè)分行使用老舊路由器，經(jīng)過(guò)分析發(fā)現(xiàn)該路由器常年不更新固件存在已知漏洞。他們首先入侵了這個(gè)路由器，將其作為入口訪問(wèn)了銀行的本地網(wǎng)絡(luò),然后劫持該銀行的自動(dòng)化工作客戶端。之后，他們?cè)O(shè)法獲得了 Automated Work Station Client of the Russian Central Bank（AWS CBR） 訪問(wèn)權(quán)限，生成了付款單，將錢轉(zhuǎn)到提前準(zhǔn)備好的賬號(hào)。等到銀行雇員發(fā)現(xiàn)大筆未經(jīng)授權(quán)的交易時(shí)，立即試圖阻止黑客將賬號(hào)中余額給取走。但是在此之前黑客集團(tuán)已經(jīng)將分散在十七個(gè)賬號(hào)中的，合計(jì)數(shù)百萬(wàn)美元的資金全部通過(guò)全球各地的ATM機(jī)取出。
 

現(xiàn)在，讓我們對(duì)這個(gè)案例進(jìn)行一下簡(jiǎn)要的分析。

俄國(guó)的黑客組織 MoneyTaker至少在2016年5月之前就開(kāi)始運(yùn)營(yíng)，其曾經(jīng)偷偷針對(duì)位于美國(guó)、英國(guó)和俄羅斯的銀行、金融機(jī)構(gòu)、律所發(fā)動(dòng)攻擊。主要集中在位于美國(guó)加州、伊利諾伊州、猶他州、俄克拉荷馬州、科羅拉州、南卡羅來(lái)納州、密西里州、北卡羅來(lái)納州、弗吉尼亞州和佛羅里達(dá)州的銀行，主要攻擊的是防御措施有限的小型社區(qū)銀行網(wǎng)絡(luò)。

該黑客組織主要是利用多種公開(kāi)可獲取的滲透測(cè)試和黑客工具進(jìn)行攻擊。如Metasploit、NirCmd、psexec、Mimikatz、Powershell Empire。除了使用開(kāi)源工具外，MoneyTaker黑客組織還大量使用 Citadel 和Kronos銀行木馬來(lái)傳播 POS惡意軟件ScanPOS。另外，MoneyTaker黑客組織還使用通過(guò)由著名品牌如微軟、雅虎、聯(lián)邦儲(chǔ)備銀行、美洲銀行等生成的 SSL證書(shū)來(lái)隱藏惡意流量。

MoneyTaker黑客組織還通過(guò)配置服務(wù)器，使惡意payload只能傳播給預(yù)先決定的屬于目標(biāo)公司的 IP 地址列表。另外，它還通過(guò)PowerShell和VBS腳本確保在目標(biāo)系統(tǒng)中的持續(xù)性。例如，MoneyTaker 在2016年5月發(fā)動(dòng)的首次攻擊中，設(shè)法獲得美國(guó)最大的銀行轉(zhuǎn)賬通訊系統(tǒng) (First Data 公司) STAR的訪問(wèn)權(quán)限并盜取錢財(cái)。

MoneyTaker 黑客組織主要針對(duì)的是卡處理系統(tǒng)，包括 AWS CBR（俄羅斯銀行間系統(tǒng)）和SWIFT 國(guó)際銀行通訊服務(wù)（美國(guó)）。該組織曾竊取了OceanSystems 的FedLink 卡處理系統(tǒng)的敏感文檔，而這個(gè)系統(tǒng)用于拉美國(guó)家和美國(guó)的200家銀行。

由以上分析可看出，MoneyTaker 黑客組織攻擊手法并不復(fù)雜?？刂沏y行網(wǎng)絡(luò)后，攻擊者查看網(wǎng)絡(luò)是否跟卡處理系統(tǒng)連接。如果是，他們會(huì)通過(guò)合法方式開(kāi)設(shè)或購(gòu)買所在銀行IT系統(tǒng)已被黑的銀行卡。進(jìn)入卡處理系統(tǒng)后，攻擊者刪除或增加所持卡的現(xiàn)金取款限額，隨后刪除透支額度，這樣他們即使僅持有儲(chǔ)蓄卡也能取出現(xiàn)金。針對(duì)以上情況，為了更好的保障銀行的網(wǎng)絡(luò)安全，中國(guó)軟件評(píng)測(cè)中心作為國(guó)內(nèi)權(quán)威的第三方軟、硬件產(chǎn)品及系統(tǒng)安全檢測(cè)機(jī)構(gòu)，提醒廣大用戶應(yīng)針對(duì)服務(wù)器固件做到及時(shí)更新，并掃除已知漏洞。