今年11月,网络安全行业的重量级人物在欧洲刑警组织(Europol)位于海牙的总部齐聚一堂。他们探讨了影响这个行业的普遍问题——金融犯罪。当提到一个名为Anunak的恶意软件时,在场的众人都打起了精神。据安全公司Fox-IT的高级副总裁安迪·钱德勒(Andy Chandler)称,Anunak给俄罗斯银行业带来了“毁灭性的一击”。
不仅如此,Anunak团伙也从许多美国零售商那里盗取了数百万张的信用卡信息。福布斯从熟悉Anunak恶意软件调查事件的不具名消息人士处了解到,零售商史泰博(Staples)也是受害者之一。这家文具巨头在上周承认,黑客可能盗取了多达116万张的支付卡信息,而且还入侵了115家门店的销售点终端机(POS)系统。该公司表示,恶意软件在7月20日至9月16日之间盗取了数据。
据消息人士称,Anunak犯罪分子手下的受害者还包括牛仔服装销售商Sheplers和女性服装零售商Bebe,前者的POS系统在6月至9月间遭到恶意软件感染,而后者则是在11月受到攻击。安全行业记者布莱恩·克雷布斯(Brian Krebs)曾在之前的报道中把入侵史泰博的犯罪分子跟对工艺品零售商Michaels发起类似攻击的团伙联系在一起。而另两起美国零售商巨头数千万张信用卡信息被窃事件,即2013年的塔吉特(Target)事件和今年的家得宝(Home Depot)事件,其背后的罪魁祸首则被认为是另有他人。不过,倘若所有的入侵事件都由同一团伙主导,那么他们在侵入美国的POS系统和造成零售业数百万美元损失方面可谓效率惊人。
不过,Anunak黑客最赚钱的工作还是攻击俄罗斯的金融行业。周一,Fox-IT跟莫斯科安全服务提供商Group-IB共同发布了一份报告,其中详细介绍了Anunak黑客的活动——他们今年偷偷入侵了大量银行系统,盗取了多达1,800万美元(约合10亿卢布)。Anunak黑客获取了逾50家俄罗斯银行网络的访问权限,这让他们每次攻击获得的平均收益达到了200万美元。他们甚至还入侵了52个独立的ATM系统,窃取了更多的现金。在一些案例中,黑客造成的损害太过严重,导致被攻击的金融机构不得不被迫放弃自己的银行业务牌照。
Anunak黑客的作案手法很典型,但也很有效。黑客一开始会向目标机构的普通职员发送电子邮件,并把发件人伪装成俄罗斯联邦中央银行(Central Bank of the Russian Federation),诱使他们打开一个包含恶意软件的附件。在攻陷单个职员的电脑之后,黑客就会从有网络管理权限的员工那里搜寻其掌握的密码。在获得密码之后,Anunak黑客就夺取了电子邮件和域名服务器的控制权,并会在这个过程中植入后门程序和其他恶意软件。通过电子邮件通讯,黑客能够发现目标机构安全系统的弱点。监视系统也无法起到作用,因为他们可以启用被入侵机器的视频录制功能。
在过去两年中,这样的攻击屡次发生。在某些情况下,Anunak黑客还跟其他已经将恶意软件植入金融机构的犯罪分子进行了合作。这些合作伙伴中就包括宙斯病毒(Zeus)的控制者,该病毒目前仍被认为是最有害的银行恶意软件类型之一。
之后又出现了一种新的犯罪方式:黑客访问银行网络上的账户,通过多个“法人实体”转移资金,那些钱会在实体之间保存和传递,目的是让黑客团伙跟他们实施的攻击撇清关系。他们每次最多转移2,000美元的资金,这是为了避开银行的欺诈检测系统。他们还会通过来自前苏联共和国的移民,直接从不同城市中被攻陷的ATM机上取走现金。
不过,Anunak黑客并未把自己的攻击目标局限在美国零售商、俄罗斯金融行业以及前东欧集团国家,他们还攻陷了至少三家美国媒体机构。另外,他们还成功入侵政府网络,从事了一些明显的间谍活动。不过,Fox-IT的报告几乎没有提及Anunak在这方面的活动。
钱德勒补充说:“根据我们的经验,俄罗斯银行、美国零售商以及掌握大量知识产权的西方公司,这些受害机构的高增长水平和多样化的类型,让这个黑客组织成为了目前在经济所得方面最成功的网络犯罪团伙之一。”
钱德勒表示,执法机构目前正在搜捕Anunak攻击背后的黑客,认为其与另一种名为Carberp的恶意软件存在关联。尽管Carberp黑客团伙的领导者已经于2013年被逮捕,但是可能仍有成员逍遥法外。不管Anunak背后是什么人,他们已经迅速成为了数字地下世界的大佬。
译 何无鱼 校 陈岳林
本文来源:福布斯中文网
责任编辑:
王晓易_NE0011
