骇客入侵美俄18家银行转账网络，盗领ATM得手近千万美元

安全公司Group-IB发现， 一个俄国骇客组织一年来入侵银行转账网络，至少18家美国、俄罗斯银行遭自ATM盗领现金近1000万美元。

俄籍安全研究公司Group-IB研究人员指出，一家被称为MoneyTaker的俄国骇客组织自去年春天开始，暗中使用同名恶意程式针对美国、英国及俄罗斯金融机构及法律事务所发动超过20次攻击。其中可确认其中16次攻击美国企业，俄国及英国则分别遭到3次和1次攻击。

该团体于2016年春天首先入侵First Data的STAR网络入口网站的用户帐密，借此成功窃走为数不详的金钱。STAR为全美第一大ATM转账讯息网络，连结超过5,000家银行的ATM，并在拉丁美洲受到广泛使用。其他受害者包括俄罗斯的AW CRB网络，甚至可能有SWIFT。此外也曾入侵美国包括加州、佛州、犹他等11州的银行。

路透社报导，骇客经过精心策划从转账网络拦截付款指令后，再派车手到ATM盗领现金，估计18个月来至少有18家银行受害，共被领走将近1,000万美元。而美国14起ATM盗领案中平均一次损失50万美元，而俄国银行平均被领走120万美元。

目前MoneyTaker背后组织身份不明，Group-IB研究人员指出，该组织用以发动攻击的全是很容易公开取得的工具，这使得调查加倍困难。目前得知该集团使用Metasploit等渗透内部网络，并运用SSL加密保护C&C服务器及潜伏的Meterpreter之间的指令。此外也曾用Citadel及Kronos等常见的银行木马，来植入ScanPOS等恶意程式。

骇客透过取得银行的管理员文件、内部法规及命令、变更申请表、交易纪录档等，借此熟悉银行的内部作业流程，为将来攻击做准备。例如一份如何利用SWIFT转账的文件，根据内容及地理区判断，拉丁美洲银行是MoneyTaker下一阶段攻击目标。另外，研究人员也发现，骇客会在犯案后持续观察受害银行，且传送公司邮件和其他档案到Yandex及Mail.ru等免费邮件服务。

研究人员已经将MoneyTaker的资料交给欧盟刑警组织（Europol）及国际刑警组织（Interpol）。

锁定银行的ATM抢案屡见不鲜。国内第一银行也在去年7月遭东欧骇客骇入ATM网络，34台ATM被遥控吐钞7,000多万元。今年俄罗斯银行也发生ATM被骇吐钞，事后几乎找不到迹证。