駭客入侵美俄18家銀行轉帳網路，盜領ATM得手近千萬美元

安全公司Group-IB發現， 一個俄國駭客組織一年來入侵銀行轉帳網路，至少18家美國、俄羅斯銀行遭自ATM盜領現金近1000萬美元。

俄籍安全研究公司Group-IB研究人員指出，一家被稱為MoneyTaker的俄國駭客組織自去年春天開始，暗中使用同名惡意程式針對美國、英國及俄羅斯金融機構及法律事務所發動超過20次攻擊。其中可確認其中16次攻擊美國企業，俄國及英國則分別遭到3次和1次攻擊。

該團體於2016年春天首先入侵First Data的STAR網路入口網站的用戶帳密，藉此成功竊走為數不詳的金錢。STAR為全美第一大ATM轉帳訊息網路，連結超過5,000家銀行的ATM，並在拉丁美洲受到廣泛使用。其他受害者包括俄羅斯的AW CRB網路，甚至可能有SWIFT。此外也曾入侵美國包括加州、佛州、猶他等11州的銀行。

路透社報導，駭客經過精心策劃從轉帳網路攔截付款指令後，再派車手到ATM盜領現金，估計18個月來至少有18家銀行受害，共被領走將近1,000萬美元。而美國14起ATM盜領案中平均一次損失50萬美元，而俄國銀行平均被領走120萬美元。

目前MoneyTaker背後組織身份不明，Group-IB研究人員指出，該組織用以發動攻擊的全是很容易公開取得的工具，這使得調查加倍困難。目前得知該集團使用Metasploit等滲透內部網路，並運用SSL加密保護C&C伺服器及潛伏的Meterpreter之間的指令。此外也曾用Citadel及Kronos等常見的銀行木馬，來植入ScanPOS等惡意程式。

駭客透過取得銀行的管理員文件、內部法規及命令、變更申請表、交易紀錄檔等，藉此熟悉銀行的內部作業流程，為將來攻擊做準備。例如一份如何利用SWIFT轉帳的文件，根據內容及地理區判斷，拉丁美洲銀行是MoneyTaker下一階段攻擊目標。另外，研究人員也發現，駭客會在犯案後持續觀察受害銀行，且傳送公司郵件和其他檔案到Yandex及Mail.ru等免費郵件服務。

研究人員已經將MoneyTaker的資料交給歐盟刑警組織（Europol）及國際刑警組織（Interpol）。

鎖定銀行的ATM搶案屢見不鮮。國內第一銀行也在去年7月遭東歐駭客駭入ATM網路，34台ATM被遙控吐鈔7,000多萬元。今年俄羅斯銀行也發生ATM被駭吐鈔，事後幾乎找不到跡證。