近期一起国外网络安全案例分析

首先，简要介绍一下这起案例的大致背景情况。MoneyTaker黑客组织从今年五月份就开始着手对俄罗斯PIR Bank 银行进行攻击。最初该组织发现该银行某个分行使用老旧路由器，经过分析发现该路由器常年不更新固件存在已知漏洞。他们首先入侵了这个路由器，将其作为入口访问了银行的本地网络,然后劫持该银行的自动化工作客户端。之后，他们设法获得了 Automated Work Station Client of the Russian Central Bank（AWS CBR） 访问权限，生成了付款单，将钱转到提前准备好的账号。等到银行雇员发现大笔未经授权的交易时，立即试图阻止黑客将账号中余额给取走。但是在此之前黑客集团已经将分散在十七个账号中的，合计数百万美元的资金全部通过全球各地的ATM机取出。
 

现在，让我们对这个案例进行一下简要的分析。

俄国的黑客组织 MoneyTaker至少在2016年5月之前就开始运营，其曾经偷偷针对位于美国、英国和俄罗斯的银行、金融机构、律所发动攻击。主要集中在位于美国加州、伊利诺伊州、犹他州、俄克拉荷马州、科罗拉州、南卡罗来纳州、密西里州、北卡罗来纳州、弗吉尼亚州和佛罗里达州的银行，主要攻击的是防御措施有限的小型社区银行网络。

该黑客组织主要是利用多种公开可获取的渗透测试和黑客工具进行攻击。如Metasploit、NirCmd、psexec、Mimikatz、Powershell Empire。除了使用开源工具外，MoneyTaker黑客组织还大量使用 Citadel 和Kronos银行木马来传播 POS恶意软件ScanPOS。另外，MoneyTaker黑客组织还使用通过由著名品牌如微软、雅虎、联邦储备银行、美洲银行等生成的 SSL证书来隐藏恶意流量。

MoneyTaker黑客组织还通过配置服务器，使恶意payload只能传播给预先决定的属于目标公司的 IP 地址列表。另外，它还通过PowerShell和VBS脚本确保在目标系统中的持续性。例如，MoneyTaker 在2016年5月发动的首次攻击中，设法获得美国最大的银行转账通讯系统 (First Data 公司) STAR的访问权限并盗取钱财。

MoneyTaker 黑客组织主要针对的是卡处理系统，包括 AWS CBR（俄罗斯银行间系统）和SWIFT 国际银行通讯服务（美国）。该组织曾窃取了OceanSystems 的FedLink 卡处理系统的敏感文档，而这个系统用于拉美国家和美国的200家银行。

由以上分析可看出，MoneyTaker 黑客组织攻击手法并不复杂。控制银行网络后，攻击者查看网络是否跟卡处理系统连接。如果是，他们会通过合法方式开设或购买所在银行IT系统已被黑的银行卡。进入卡处理系统后，攻击者删除或增加所持卡的现金取款限额，随后删除透支额度，这样他们即使仅持有储蓄卡也能取出现金。针对以上情况，为了更好的保障银行的网络安全，中国软件评测中心作为国内权威的第三方软、硬件产品及系统安全检测机构，提醒广大用户应针对服务器固件做到及时更新，并扫除已知漏洞。