三起俄罗斯黑客组织攻击银行手法全揭秘

2016年伊始，当全球金融机构还沉浸在上一年的总结与规划中时，一场无声的战役已经在网络空间悄然打响。安全研究企业卡巴斯基实验室披露的一份报告，将三个技术精湛的俄语黑客组织——Metel、GCMAN和Carbanak推到了聚光灯下。它们并非普通的小偷小摸，而是利用复杂的“犯罪软件”直接攻入金融机构的“宝库”，窃取了巨额资金。这些攻击并非天方夜谭，而是发生在我们身边的真实威胁。对于身处金融科技浪潮中的每一位从业者及科普爱好者而言，理解这些攻击的来龙去脉，是构筑第一道心理防线的开始。

一、Metel组织：如何让ATM机“无限吐钞”？

Metel在俄语中意为“暴风雪”，这个组织的手法也如同暴风雪一般，精准而猛烈地席卷银行的现金系统。那么，Metel是如何在不触碰银行卡的情况下，让ATM机吐出钞票的呢？

攻击路径：从鱼叉邮件到核心内网

Metel的攻击起点极为典型，但却防不胜防——鱼叉式网络钓鱼。他们会向银行员工发送带有恶意可执行文件的邮件，或利用名为Niteris的漏洞利用工具包攻击员工浏览器的漏洞。一旦某台工作站被攻破，恶意软件便会收集系统信息、进程列表甚至屏幕截图，帮助黑客评估该目标的价值。如果确认这是一台属于金融机构的有价值机器，黑客便会上传完整的Metel恶意软件包。卡巴斯基实验室在分析中发现，该软件包包含了超过30个功能各异的模块，部分模块甚至是从其他恶意软件中“借鉴”并改造而来。

盗刷机制：神奇的“事务回滚”

Metel最令人咋舌的功能，是其对ATM交易逻辑的操纵。当该组织在金融网络中站稳脚跟后，他们会寻找一台被攻破的ATM机，并使用被盗的客户卡信息发起取款指令。关键步骤在于，在现金被吐出后，恶意软件会立即向银行系统发送一个“事务回滚”的命令。这意味着，这笔取款交易在系统层面被瞬间撤销，仿佛从未发生过

1。

适配建议：这种攻击利用了银行核心系统与ATM终端之间的信任与同步延迟。银行应加强对ATM交易异常逻辑的监控，例如短时间内高频次的交易撤销行为，应被视为高风险告警。

二、GCMAN组织：如何利用200美元“蚂蚁搬家”？

如果说Metel是疾风骤雨，那么GCMAN则是“蚂蚁搬家”。它们的目标不是ATM机里的现钞，而是银行内部的转账系统。GCMAN的手法更隐蔽，也更考验耐心。

攻击路径：潜入会计与HR电脑

GCMAN的攻击目标非常明确——银行的人力资源部或财务/会计人员的工作站。他们的入侵手段同样通过钓鱼邮件，但后续行动却与众不同。侵入后，他们会故意破坏某些商业软件，制造系统故障，以此诱使IT管理员前来处理。当毫无防备的IT人员介入排查时，GCMAN便在一旁悄悄窃取拥有至高无上权限的管理员凭证。

盗刷机制：定时执行的“小额定时炸弹”

获得最高权限后，GCMAN并不会急于动手，而是潜伏在网络中，寻找一台适合处理金融交易的核心机器。找到后，他们会利用cron（Unix/Linux系统中一个合法的定时任务工具）编写一个脚本。这个脚本每次只从受害账户中转出200美元。为何是200美元？卡巴斯基实验室的分析指出，这极有可能是为了规避银行的反洗钱风控系统，因为在当时，200美元是俄罗斯银行匿名交易的上限阈值。通过这种低于监管雷达的“蚂蚁搬家”式操作，GCMAN悄无声息地聚沙成塔。

适配建议：银行必须严格限制并监控高权限账户的使用行为，实施最小权限原则。同时，对于低于风控阈值的批量、定时小额交易，也应建立异常行为分析模型，揪出潜藏的“蚂蚁”。

三、Carbanak组织：APT手法的金融化改造

Carbanak的名号在2015年便已响彻全球安全界。它之所以备受关注，是因为它首次将国家级APT（高级持续性威胁）攻击中使用的手法，系统地运用到了网络犯罪中，实现了“工业化”的银行盗窃

5。

攻击路径：全景式侦察与潜伏

Carbanak的攻击同样始于鱼叉式钓鱼邮件，但进入内网后，他们的行动更像一个沉默的间谍。他们会潜伏长达2至3个月，通过恶意程序密切观察银行内部系统的运作流程、风控稽核机制以及审批权限。他们侧录有权审批转账的高管账号密码，研究核心软件（如连接SWIFT系统的Alliance Access软件）的配置文件，找出漏洞以绕过检查。

盗刷机制：控制一切，甚至包括打印机

当Carbanak决定收网时，他们的行动是立体且全面的。他们不仅能像Metel那样让ATM机自动吐钞，还能直接入侵银行的网上银行平台或SWIFT外币结算平台，发起虚假的转账请求。更令人惊讶的是，为了掩盖罪行，他们甚至会操控与核心系统相连的打印机，拦截并替换掉那些打印出来的转账记录报表，让银行的日常对账变得毫无意义。

适配建议：面对Carbanak这种级别的对手，银行必须建立起“深度防御”体系。不仅要在网络边界部署防护，更要加强对内部行为的审计。正如卡巴斯基实验室首席安全研究员Sergey Golovanov所言，这些组织至今仍然活跃，全球银行都应主动排查感染迹象。

四、防御之盾：为什么“人”是最后一道防线？

剖析完这三个组织的攻击手法，你会发现一个惊人的共性：无论技术多复杂，所有攻击的起点，都是银行员工打开了一封受感染的电子邮件、附件或访问了恶意网站。技术的高墙往往崩溃于人性的疏忽。

针对这一点，卡巴斯基实验室在报告中反复强调，最佳预防方式并非购买最昂贵的设备，而是时刻使用最新版本的软件以封堵已知漏洞，并建立严谨的安全文化。银行员工必须意识到，自己手中的鼠标和键盘，可能就是黑客觊觎的“金钥匙”。对于普通用户而言，了解这些攻击的存在，提升对可疑邮件和链接的警惕性，便是对自身财产安全最基本的负责。

关键词：银行木马，APT攻击，网络钓鱼，ATM恶意软件 

本文为【广告】 文章出自：互联网,文中内容和观点不代表本网站立场，如有侵权，请您告知，我们将及时处理。