银行似乎是黑客的天然目标,因为它们自然而然地存储着大量资金。 PIR 银行在俄罗斯银行的一个账户中存储了 920,000 美元,这笔钱被一个名为 MoneyTaker(一个恰当的名称)的黑客组织窃取。 发生这种情况的原因是一个过时的路由器很容易被黑客组织利用。
目录
谁是MoneyTaker?
MoneyTaker 是目前运营最多的黑客组织之一。 对各种金融机构和律师事务所进行了 20 多次成功攻击。 受影响的各方居住在美国、英国和俄罗斯。 众所周知,该组织主要专注于针对易受攻击的卡处理系统,例如 AWS CBR、俄罗斯的银行间系统和在美国使用的 SWIFT。
人们认为 MoneyTaker 攻击了所列国家以外的国家,但没有报告证实这种理论。 由于该组织一直在改变他们的攻击方式,很多攻击几乎不可能无可辩驳地归咎于 MoneyTaker。
俄罗斯银行黑客
MoneyTaker 的最新攻击涉及俄罗斯银行和近 100 万美元的盗窃。 俄罗斯网络安全公司 Group-IB 受雇于 PIR 银行(受影响方)调查此次黑客攻击。
100 万美元的抢劫案于 7 月 4 日被发现,但在 MoneyTaker 发现一个过时的路由器可供利用后,攻击于 5 月开始。 Group-IB 表示,对于像 MoneyTaker 这样熟练的人来说,利用该漏洞不会有丝毫困难。
然后路由器通过字典攻击收到了一些登录请求。 字典攻击只是遍历用户名和密码列表,直到找到正确的组合。 对于应该是安全机构的一种相对简单的方法。
Syslog 通常用作发现是否发生潜在攻击的方法,例如登录失败事件的数量过多。 显然,这些都没有受到监控,但至少 Syslog 允许对攻击进行事后分析,这为 Group-IB 提供了确定这是一次字典攻击所需的信息。
路由器利用盗窃
路由器被攻破后,攻击者就可以进入银行的主网络。 一旦进入,MoneyTaker 就可以访问自动工作站客户端。 这些是为转账提供资金的银行内消息传递系统。
一旦完成,剩下的就是攻击者创建一些支付订单并将钱发送到预先安排的“骡子”账户,然后以无法追踪的方式分发。
什么是钱骡?
钱骡是指在不知情的情况下(或在某些情况下故意)帮助小偷转移金钱的人。 这可以通过多种方式完成,但最常见的一些方法包括雇用具有诱人“在家工作”工作机会的人,他们必须简单地将资金从一个账户转移到另一个账户。
此次攻击的 MoneyTaker 使用银行发行的卡从转移资金的账户中提取资金。 一旦提取了这笔钱,当局几乎不可能确定所涉及的个人,除非发现实际提取现金。
网络安全投资
如果以前不清楚,那么现在,大型组织应该大力投资于他们的网络安全措施。 MoneyTaker 可能已经找到了另一种攻击途径,但俄罗斯银行让他们变得如此容易,以至于他们无法抗拒。 希望银行将这个故事用作教育文章,并努力确保其安全性中任何可能的薄弱环节都得到了解决。
对于家庭用户来说,这也是一个警示故事,路由器通常是您内部网络的网关。 确保使用可以使用 VPN 连接的路由器保护它们。 许多家庭路由器都可以使用允许使用 VPN 的 DD-WRT(和其他开源路由器固件)进行刷新。 如今,许多路由器已经具备此功能,而且设置起来也很容易。
