高度類似俄羅斯科技黑幫手法，調查局證實一銀ATM遭植木馬，駭客遠端遙控大吐鈔

第一銀行ATM遭駭盜領案有新進展。負責調查的調查局新北市調查處揭露第一天調查結果，證實第一銀行ATM遭植入惡意木馬，盜領者則是透過遠端遙控方式來操作ATM吐鈔。調查局在ATM硬碟中發現了2隻惡意程式，經實際測試，這款木馬只要一經執行就會讓ATM吐鈔，不受限於一般臺灣ATM提款金額本行3萬元、跨行2萬元的限制。調查局還發現，盜領者是透過遠端遙控方式，連續執行惡意程式讓ATM自動連續吐鈔。

第一銀行遭駭ATM也不只原先向金管處通報的34臺，已在近40臺同款ATM發現此木馬，尚有上百臺還未檢測，受駭ATM數量恐再增加，損失金額也非原先通報的7,200萬元，恐超過8千萬元。

調查局表示，昨天上午就連同資安專業人員，兵分多路，前往第一銀行總部、資訊處、各分行及遭駭ATM系統開發及維護廠商「德利多富公司」調閱相關資料。了解第一銀行網路系統架構、ATM運作模式、系統開發及維護流程、遭盜領ATM之電磁紀錄、錄影畫面及損失金額。

遭駭ATM軟硬體是由德利多富公司負責建置維護的Wincor廠牌AMT，型號為pro cash 1500，發現被遭植入2隻惡意程式為「cngdisp.exe」及「cngdisp_new.exe」，另以同型ATM測試，確認只要一執行惡意程式，ATM就會立即吐出現鈔。另外調查局也清查，第一銀行資料庫目前沒有發現遭入侵的跡象，盜領者也沒有使用ATM按鍵或插入金融卡，因此，調查局研判，盜領者透過遠端遙控，連續執行惡意程式來讓特定ATM吐鈔。調查局也在發布新聞稿中呼籲，使用同款軟硬體ATM的金融機構，盡速檢查內部網路系統中是否有cngdisp.exe及cngdisp_new.exe等惡意程式，若有應立即清除。

不過，多名資安研究員先後表示，一銀受駭方式與相關的攻擊手法，與俄羅斯黑幫集團利用惡意程式Anunak，入侵超過50家俄羅斯銀行ATM竊鈔手法類似，推測，可能是同一集團在臺所為。

一銀ATM遭駭事件與俄羅斯黑幫入侵ATM的手法有多項雷同，包括都是俄羅斯人所為，受駭ATM廠牌都是Wincor，先暗中在ATM中植入惡意程式，無須接觸按鍵透過遠端遙控執行，可一次控制大量ATM而不用逐一入侵，解除了ATM提款上限多次連續吐鈔。

荷蘭與俄羅斯資安研究公司Group-IB及Fox-IT在2014年聯合發表的資安報告《AnunAk：APT Against Financial Institutions》中，詳細揭露了這個俄羅斯黑幫集團，利用開源銀行木馬Carberp，來客製化出專門攻擊銀行和支付系統的惡意程式Anunak，專攻特定廠牌Wincor（德利多富）ATM，可竄改銀行吐鈔上限，並可同時遠端遙控多達52臺ATM吐鈔來盜領金錢。此俄羅斯犯罪集團已經利用相同手法，不只偷騙俄羅斯，也橫行美國與歐洲多國的銀行。

Wincor原本是德國廠牌，主要的優勢在於相關的ATM軟體，硬體多是找代工貼牌，但是該ATM在去年賣給美國公司，而Wincor在拍賣網站的售價大約新臺幣4萬元～6萬元不等，一銀遭駭的ATM行號Pro cash 1500是一款上市超過10年的ATM機型，採用作業系統為Windows XP或Windows 7的32位元系統。根據這份資安報告，俄羅斯黑幫就是鎖定如同第一銀行此次受駭的ATM廠牌Wincor，利用植入的惡意程式，竄改ATM作業系統內與提款上限相關的特定登錄機碼數值，來破解ATM提款機提款面額的限制。

雖然詳細的內情還有待檢警調單位進一步調查，但是，從同是俄羅斯人所為，同一ATM廠牌受駭，加上駭客可以同時控制多臺ATM，並且有多名APT資安研究員同時引述這樣的攻擊手法，整起事件極有可能是同一俄羅斯黑幫集團所為，俄羅斯金融木馬ATM盜領事件的臺灣版。

俄羅斯黑幫9大步驟入侵ATM盜領現鈔

該份資安報告也詳細列出了，目前所發現的駭客入侵銀行手法，包括了九個步驟。首先，駭客會透過寄送魚叉式釣魚信件，將惡意程式植入在一般銀行行員所使用的電腦中；其次，駭客會伺機在銀行內部系統作橫向移動，目的就是要取得具有系統管理員行員的密碼，例如某一些提供技術支援的工程師便是鎖定的對象之一。

第三，取得其中任一臺伺服器，合法存取伺服器的權限；第四，從伺服器中，取得網域管理員（Domain Administrator ）的密碼；第五，由於網域管理員具有修改網域設定，和新增、刪除和修改所有網域帳號使用者的權限，當駭客獲得該權限後，就可以控管所有網域帳戶的使用者；第六，接著掌控銀行使用者的郵件系統，不分是微軟的Exchange郵件伺服器或是IBM的Lotus郵件系統，以及掌握工作簽核流程系統的伺服器。

第七，獲得存取伺服器及銀行系統管理員工作站的權限；第八，植入可以監控維運系統的監控軟體，觀察使用者行為，也常使用錄影與拍照的方式進行；最後則是，利用遠端存取控管的權限，修改某些有興趣系統的設定，包括防火牆的設定在內。

客製化惡意程式平均潛伏42天，至少50間俄羅斯銀行受駭

該份報告顯示，最早這種金融詐騙的手法是發生在2013年的俄羅斯境內，主要受駭對象是銀行、電子支付業者、零售業、媒體以及公關公司等產業。這樣金融詐騙發生在銀行內部網路，往往都會使用銀行內部的支付閘道器與內部銀行系統，所以，駭客竊取的金錢是從銀行的系統而來，並非竊取銀行個別客戶的資金。也有消息指出，這樣的黑幫集團因為有利可圖，也會用於產業的網路間諜和股票市場交易外，也會刺探政府相關的資訊。

這個俄羅斯黑幫主要來自於俄羅斯、烏克蘭和白俄羅斯，從2013年起，每一起攻擊事件至少獲利200萬美元，至少有50間俄羅斯銀行、5個支付系統受駭，其中，還有2間金融體系因此喪失繼續開門做生意的資格。

由於這個俄羅斯黑幫使用的惡意程式是一種低調潛伏的APT惡意程式，從入侵該金融機構後到偷錢成功，平均潛伏42天，這樣的潛伏天數比以鎖定國家政府的APT攻擊潛伏天數更短，資安公司推論，俄羅斯黑幫只是為了快速拿到錢，而非偷資料，所以不需長時間潛伏在企業的內部系統中。

因為ATM系統往往是獨立的系統，俄羅斯黑幫要成功取得相關的控管權限，最好的方式就是透過寄送魚叉式網路釣魚信件（Spear Phishing），也因為會需要和發送垃圾郵件的傀儡網路業者保持合作關係。等到這樣的黑幫取得電子郵件伺服器的控制權限後，就可以監控銀行內部的溝通，不論是有發生哪些異常現象，或者是使用何種應對措施，其實都在這樣俄羅斯黑幫的控制中。

在2013年第一起成功竊鈔事件中，駭客為了遠端存取銀行內部系統，使用了可遠端遙控的RDPDoor木馬程式，和可以消除追蹤跡證並癱瘓微軟作業系統的MBR Eraser惡意程式；當時甚至為了要降低遠端進入銀行內部系統的風險，駭客，也使用了合法的遠端登入的應用程式，例如Ammy Admin及Team Viewer。

直到2014年，這個俄羅斯黑幫也發展出完整的金融詐欺惡意程式Anunak，除了整合原本已經開源的銀行木馬程式Carberp，也將一些常見應用程式整合在這個惡意程式的套件中，包括：可以擷取本地端與網域端使用者帳號密碼的工具Mimikatz；癱瘓作業系統的MBr Eraser；可以掃描網段和內網的SoftPerfect Network scanner；可取得密碼的Cain & Abel；取得密碼並可以遠端遙控的SSHD後門程式；以及遠端遙控程式Ammy Admin及Team Viewer的功能。

事前預防和事後應變建議

儘管一銀ATM遭駭事件類似這份資安報告所提及的俄羅斯黑幫手法，不過，勤業眾信企業風險管理副總經理溫紹群認為，仍有待檢警調最後公布的調查結果才能確定，但是其他的金融業者，則為了降低可能的風險，已紛紛暫停使用受駭的同款ATM型號（WINCOR pro cash 1500）並進行全面檢測。溫紹群建議，在相關事件發生原因並不明朗的情況下，可從事前預防及事後應變雙管其下。

在事前預防方面，他提供5點建議，首先，金融業者除了要全面盤點ATM同型號設備，評估風險後，可考量將該款機型全面暫停服務，若無法全面暫停服務，建議非營業時段是否考量少放點鈔票；其次，建議此ATM同型號設備，有關程式執行之權限控制，以白名單方式進行控管；第三，針對此ATM同型號的設備進行惡意程式檢測作業（如系統異常行為檢測）；第四，確認近期是否有ATM設備換版、中央派送及到場軟硬體維修保養紀錄；最後，需另行盤點負責維運此ATM同型號設備的委外廠商人員。

至於事後應變，主要是指當ATM設備有發生異常情況時的因應策略，溫紹群也有3點建議，包括：依據數位鑑識程序針對被盜ATM的硬體進行記憶體擷取及硬碟證據保全作業；確認系統所執行程序（Process）及服務/排程/Autorun等主機行為資訊；和檢查應用程式與前幾代版本之內容差異。