駭客搶銀行! 俄羅斯銀行因老舊路由器被盜走92萬美元

專門防範高科技犯罪的Group-IB本周指出,金融駭客集團MoneyTaker今年再度藉由老舊的路由器入侵了俄羅斯的PIR銀行,保守估計至少自該銀行盜走了92萬美元。

駭客是在今年5月入侵了PIR某家分行的老舊路由器,該路由器擁有允許駭客進入銀行網路的通道,再於PIR網路中伺機存取俄羅斯中央銀行類似SWIFT結算系統的自動化工作站客戶端(AWS CBR),接著產生支付命令,並在7月3日將款項匯至駭客所掌控的17個帳號中。

銀行行員在7月4日傍晚發覺未經授權的大筆轉帳交易之後,要求主管機關阻止相關的AWS CBR數位簽章金鑰,不過大多數的金額已被盜轉且當天就從ATM被領走,實際金額尚不確定,保守估計PIR銀行至少損失了92萬美元。

Group-IB鑑識後認為MoneyTaker集團涉有重嫌,因為該攻擊行動使用了許多MoneyTaker過往攻擊曾使用的特定工具,也有同樣的IP位址與C&C伺服器,都是藉由路由器入侵,且其掩蓋犯罪蹤跡的手法亦與MoneyTaker如出一轍。

Group-IB在去年12月曾公開揭露MoneyTaker的行徑,指出當時暗中運作已超過一年半的金融駭客集團已針對美國及俄羅斯銀行執行21起攻擊行動,得手金額超過1,400萬美元,堪稱是全球銀行最大的威脅,也建議銀行業者應該及時更新路由器韌體,測試系統的暴力破解漏洞,以及定期檢查路由器配置。

原文來自 iThome Online