Buhtrap组织从俄罗斯银行盗取上千万美金

admin

安全研究专家表示，在2015年8月至2016年2月之间，Buhtrap组织已经成功地对俄罗斯银行进行过多达十三次的网络攻击，并从银行中窃取了大约两千五百多万美金。

自2015年8月以来，Buhtrap组织已经成功地对多家金融机构进行了多达十三次的网络攻击，涉案金额已经超过了十八亿六千万卢布（大约为两千七百多万美元）。早在2015年4月，ESET发现了一个恶意软件攻击活动，并将其命名为“Operation Buhtrap（Buhtrap行动）”。这个名字是由俄语单词“Buhgalter（会计师）”和英语单词“trap（陷阱）”组合而来的。在Buhtrap所进行的攻击活动中，大约有百分之八十八的目标用户位于俄罗斯境内，另外还有百分之十左右的目标用户来自乌克兰地区。截止到目前为止，安全研究专家还没有在其他的地方发现Buhtrap的活动踪迹。安全专家在分析之后认为，这一攻击活动也许还与Anunak或Carbanak攻击活动有联系，因为这两个攻击活动同样针对的是俄罗斯和乌克兰的银行机构。

在Buhtrap组织的攻击行动中，他们对目标用户进行的并不是普通的网络欺诈，而是极具针对性的网络攻击，这种攻击方式也是这一类网络犯罪分子惯用的攻击手法，因为利用这种攻击手段来对金融机构进行攻击是非常有效的。

在研究专家所发现的最后一波网络攻击活动中，攻击者通过伪装成FinCERT的相关工作人员来对俄罗斯银行进行攻击。而FinCERT是由俄罗斯中央银行成立的网络安全中心，专门处理针对俄罗斯金融机构的网络攻击事件。

根据安全公司Group-IB所发布的一份报告，早在2014年， Buhtrap组织就已经开始对各个组织和机构进行攻击了，只是安全人员直到2015年8月份才第一次检测到该组织针对金融机构的攻击活动而已。在此之前，该黑客组织针对的只是银行客户。但是现在，该组织将他们的攻击目标转移到了俄罗斯和乌克兰的银行机构身上，Group-IB公司为我们提供了一张图表，大家可以在这张图片中了解到有关该组织攻击活动的相关时间信息：

上图显示的是Buhtrap组织的攻击活动时间轴，需要注意的是，上图所显示的都是该组织成功进行的攻击活动。仅在2015年8月，该组织就成功窃取了大约两千五百多万卢布（大约三十七万美金）。而在两个月之后，该组织又成功地进行了一次网络攻击，而这一次的涉案金额达到了九千九百多万卢布（大约一百四十万美金）。

在2015年11月，该组织对两家银行发动了网络攻击，并成功窃取了七千五百万卢布（大约一百一十万美金）。但是在此次攻击中，该组织采用了两种完全不同的攻击方式。

在2015年12月份，该组织的攻击活动数量达到了最高峰。仅在一个月内，该组织就对五家银行进行了攻击，并成功窃取了五亿七千一百万卢布（大约八百三十万美金）。除此之外，该组织的黑客还在2016年的1月和2月成功进行了另外两轮网络攻击。总的算来，该组织已经从俄罗斯银行中成功窃取了十八亿六千万卢布（大约两千七百多万美金）。

安全专家表示，仅在2016年的1月份和2月份，该组织就已经从俄罗斯银行窃取了数百万美金。

在2016年2月，Buhtrap恶意软件的开发者将这款恶意软件的完整源代码全部泄漏了出来，而原因就是因为他在为该黑客组织开发了这款恶意软件之后，该组织并没有付予他应有的报酬。安全研究专家在对源代码进行了分析之后发现，这些泄漏出来的源代码是早期的一个版本，这与攻击者在最近的攻击活动中所使用的恶意软件有所差别。

安全专家在报告中写到：“在此之前，该组织只会对银行客户进行攻击。而现在，该组织已经将他们的攻击目标转向了俄罗斯和乌克兰的银行。无论从哪一方面来看，这件事情都不再是一件普通的事情了，因为该组织的攻击活动导致俄罗斯银行直接损失了十多亿的卢布。”

Buhtrap组织所采用的攻击策略是经过精心设计的，攻击者会注册虚假域名或者注册一个目标用户较为熟悉的域名，然后他们还会租用一些可以发送网络钓鱼邮件的服务器，并且将这些服务器设置为合法公司的服务器，以避免这些恶意的攻击邮件被网络防护软件当作垃圾邮件而过滤掉。

该组织使用了一款自定义的恶意软件，这款恶意软件可以检测目标主机中的安全防护软件和其他的一些防御措施。攻击者可以利用这款恶意软件来对目标用户所进行的每一次银行操作和每一笔交易信息进行跟踪，恶意代码会检测到用户的这些行为，并且会在目标主机中自动下载安装一个合法的远程访问工具（LiteManager），攻击者可以利用这个工具来进行欺诈活动。

在接下来的几个月时间里，还会发生什么呢？

安全专家们表示，该黑客组织仍然会继续他们的攻击行动，而且攻击手段可能会变得更加的复杂多变，这一点毋庸置疑。由于这款恶意软件的源代码已经被公布在了网上，Group-IB公司的研究人员就担心可能会有其他的网络犯罪分子利用这款恶意软件来对银行进行攻击。

研究人员在报告中写到：“目前，这份泄漏出来的源代码仍然可以直接运行。如果这份源代码大范围传播开来，也许会导致这类攻击事件的数量急剧增加，因为很多其他的组织也可以利用这款恶意软件来对银行机构进行攻击。”

如果大家对这一黑客组织感兴趣的话，我建议大家去看看这篇由Group-IB所发表的研究报告，里面包含有很多关于Buhtrap组织的宝贵信息。