俄罗斯黑客团伙如何从银行及零售商网络疯狂掘金1.1亿
Group-IB和Fox-IT的研究人员近日发表详细报告,研究了俄罗斯黑客团伙Anunak如何从银行业及西方零售商成功窃取十亿卢布(合1.1亿人民币美元)。Anunak与其他攻击网上银行的团伙与众不同的是,他们的目标不是直接从银行客户账户中窃取资金,而是针对银行自身的电子支付系统进行资金窃取。此外报告还警告说,该团伙还在政府网络受损时对其基础设施进行利用。
报告显示,自2013年以来,Anunak团伙的黑客已成功渗透进了俄罗斯五十多个金融机构和五大支付系统的内部网络,甚至在ATM管理基础设施上安装恶意软件,以协助从提款机中窃取资金。但攻击并未就此打住,今年Anunak团伙的黑客活动有所增加和扩大,对攻击美国和欧洲零售商的POS系统、窃取支付卡信息表现出了极大的兴趣。
研究人员称,攻击开始的时候,他们会悄悄地给目标员工发送一封简单的电子邮件。邮件中的附件就会利用微软Word安全漏洞感染收件人计算机。一旦感染了恶意软件,攻击者就会试图使用管理权限,如技术支持工程师权限,来抓取密码。获得一台服务器的访问权限后攻击不断升级,黑客会沿着网络向上追溯,获取域控制器、电子邮件服务器和工作流服务器的访问权限,然后打开服务器的远程访问,更改防火墙配置。更令人毛骨悚然地是,据说黑客甚至能够录制重要员工的动作视频,了解他们是如何进行工作的。
根据这份报告,该黑客组织在最初进入内部网络后进行资金窃取的平时时间为42天。Fox-IT研究人员安迪·钱德勒说,Anunak貌似是有史以来最有效的黑客团伙之一,他说:
“根据我们的经验,该团伙使用高级网络协议针对俄罗斯银行、美国零售商和西方企业进行攻击的规模增长和多样性,都是我们见过的最成功的网络犯罪团伙之一。我们多年来一直在研究包括POS恶意软件在内的网络犯罪。Anunak有能力构成跨多个大洲和行业的威胁,看来APT和僵尸网络之间还是有灰色地带。罪犯的这种实用主义方法为网络犯罪生态系统再次开辟了新的篇章。”
虽然没有得到Group-IB和Fox-IT报告的证实,但《福布斯》杂志的一篇文章声称,一个与该团伙有关的不明来源针对Staples、Bebe和Shepler发动高调攻击。
令人好奇的是,该Anunak黑客团伙似乎并不针对俄罗斯的零售商进行攻击,尽管他们也攻击了俄罗斯的金融机构。这是不是因为兔子不吃窝边草的缘故呢?可以推测的是,由于潜在的风险,这些黑客对于在自己家门口招惹是非还是有所顾虑的,但是他们为什么又对攻击俄罗斯的金融机构无所顾忌呢?