第一銀行在週末期間,發生在全臺20間分行、38臺Wincor廠牌的ATM設備,被至少兩名俄羅斯人盜領超過8千萬元,震驚臺灣社會與金融圈。

圖片來源: 

iThome

第一銀行ATM遭駭盜領案有新進展。負責調查的調查局新北市調查處揭露第一天調查結果,證實第一銀行ATM遭植入惡意木馬,盜領者則是透過遠端遙控方式來操作ATM吐鈔。調查局在ATM硬碟中發現了2隻惡意程式,經實際測試,這款木馬只要一經執行就會讓ATM吐鈔,不受限於一般臺灣ATM提款金額本行3萬元、跨行2萬元的限制。調查局還發現,盜領者是透過遠端遙控方式,連續執行惡意程式讓ATM自動連續吐鈔。

第一銀行遭駭ATM也不只原先向金管處通報的34臺,已在近40臺同款ATM發現此木馬,尚有上百臺還未檢測,受駭ATM數量恐再增加,損失金額也非原先通報的7,200萬元,恐超過8千萬元。

調查局表示,昨天上午就連同資安專業人員,兵分多路,前往第一銀行總部、資訊處、各分行及遭駭ATM系統開發及維護廠商「德利多富公司」調閱相關資料。了解第一銀行網路系統架構、ATM運作模式、系統開發及維護流程、遭盜領ATM之電磁紀錄、錄影畫面及損失金額。

遭駭ATM軟硬體是由德利多富公司負責建置維護的Wincor廠牌AMT,型號為pro cash 1500,發現被遭植入2隻惡意程式為「cngdisp.exe」及「cngdisp_new.exe」,另以同型ATM測試,確認只要一執行惡意程式,ATM就會立即吐出現鈔。另外調查局也清查,第一銀行資料庫目前沒有發現遭入侵的跡象,盜領者也沒有使用ATM按鍵或插入金融卡,因此,調查局研判,盜領者透過遠端遙控,連續執行惡意程式來讓特定ATM吐鈔。調查局也在發布新聞稿中呼籲,使用同款軟硬體ATM的金融機構,盡速檢查內部網路系統中是否有cngdisp.exe及cngdisp_new.exe等惡意程式,若有應立即清除。

不過,多名資安研究員先後表示,一銀受駭方式與相關的攻擊手法,與俄羅斯黑幫集團利用惡意程式Anunak,入侵超過50家俄羅斯銀行ATM竊鈔手法類似,推測,可能是同一集團在臺所為。

一銀ATM遭駭事件與俄羅斯黑幫入侵ATM的手法有多項雷同,包括都是俄羅斯人所為,受駭ATM廠牌都是Wincor,先暗中在ATM中植入惡意程式,無須接觸按鍵透過遠端遙控執行,可一次控制大量ATM而不用逐一入侵,解除了ATM提款上限多次連續吐鈔。

荷蘭與俄羅斯資安研究公司Group-IB及Fox-IT在2014年聯合發表的資安報告《AnunAk:APT Against Financial Institutions》中,詳細揭露了這個俄羅斯黑幫集團,利用開源銀行木馬Carberp,來客製化出專門攻擊銀行和支付系統的惡意程式Anunak,專攻特定廠牌Wincor(德利多富)ATM,可竄改銀行吐鈔上限,並可同時遠端遙控多達52臺ATM吐鈔來盜領金錢。此俄羅斯犯罪集團已經利用相同手法,不只偷騙俄羅斯,也橫行美國與歐洲多國的銀行。

Wincor原本是德國廠牌,主要的優勢在於相關的ATM軟體,硬體多是找代工貼牌,但是該ATM在去年賣給美國公司,而Wincor在拍賣網站的售價大約新臺幣4萬元~6萬元不等,一銀遭駭的ATM行號Pro cash 1500是一款上市超過10年的ATM機型,採用作業系統為Windows XP或Windows 7的32位元系統。根據這份資安報告,俄羅斯黑幫就是鎖定如同第一銀行此次受駭的ATM廠牌Wincor,利用植入的惡意程式,竄改ATM作業系統內與提款上限相關的特定登錄機碼數值,來破解ATM提款機提款面額的限制。

雖然詳細的內情還有待檢警調單位進一步調查,但是,從同是俄羅斯人所為,同一ATM廠牌受駭,加上駭客可以同時控制多臺ATM,並且有多名APT資安研究員同時引述這樣的攻擊手法,整起事件極有可能是同一俄羅斯黑幫集團所為,俄羅斯金融木馬ATM盜領事件的臺灣版。

俄羅斯黑幫9大步驟入侵ATM盜領現鈔

該份資安報告也詳細列出了,目前所發現的駭客入侵銀行手法,包括了九個步驟。首先,駭客會透過寄送魚叉式釣魚信件,將惡意程式植入在一般銀行行員所使用的電腦中;其次,駭客會伺機在銀行內部系統作橫向移動,目的就是要取得具有系統管理員行員的密碼,例如某一些提供技術支援的工程師便是鎖定的對象之一。

第三,取得其中任一臺伺服器,合法存取伺服器的權限;第四,從伺服器中,取得網域管理員(Domain Administrator )的密碼;第五,由於網域管理員具有修改網域設定,和新增、刪除和修改所有網域帳號使用者的權限,當駭客獲得該權限後,就可以控管所有網域帳戶的使用者;第六,接著掌控銀行使用者的郵件系統,不分是微軟的Exchange郵件伺服器或是IBM的Lotus郵件系統,以及掌握工作簽核流程系統的伺服器。

第七,獲得存取伺服器及銀行系統管理員工作站的權限;第八,植入可以監控維運系統的監控軟體,觀察使用者行為,也常使用錄影與拍照的方式進行;最後則是,利用遠端存取控管的權限,修改某些有興趣系統的設定,包括防火牆的設定在內。

客製化惡意程式平均潛伏42天,至少50間俄羅斯銀行受駭

該份報告顯示,最早這種金融詐騙的手法是發生在2013年的俄羅斯境內,主要受駭對象是銀行、電子支付業者、零售業、媒體以及公關公司等產業。這樣金融詐騙發生在銀行內部網路,往往都會使用銀行內部的支付閘道器與內部銀行系統,所以,駭客竊取的金錢是從銀行的系統而來,並非竊取銀行個別客戶的資金。也有消息指出,這樣的黑幫集團因為有利可圖,也會用於產業的網路間諜和股票市場交易外,也會刺探政府相關的資訊。

這個俄羅斯黑幫主要來自於俄羅斯、烏克蘭和白俄羅斯,從2013年起,每一起攻擊事件至少獲利200萬美元,至少有50間俄羅斯銀行、5個支付系統受駭,其中,還有2間金融體系因此喪失繼續開門做生意的資格。

由於這個俄羅斯黑幫使用的惡意程式是一種低調潛伏的APT惡意程式,從入侵該金融機構後到偷錢成功,平均潛伏42天,這樣的潛伏天數比以鎖定國家政府的APT攻擊潛伏天數更短,資安公司推論,俄羅斯黑幫只是為了快速拿到錢,而非偷資料,所以不需長時間潛伏在企業的內部系統中。

因為ATM系統往往是獨立的系統,俄羅斯黑幫要成功取得相關的控管權限,最好的方式就是透過寄送魚叉式網路釣魚信件(Spear Phishing),也因為會需要和發送垃圾郵件的傀儡網路業者保持合作關係。等到這樣的黑幫取得電子郵件伺服器的控制權限後,就可以監控銀行內部的溝通,不論是有發生哪些異常現象,或者是使用何種應對措施,其實都在這樣俄羅斯黑幫的控制中。

在2013年第一起成功竊鈔事件中,駭客為了遠端存取銀行內部系統,使用了可遠端遙控的RDPDoor木馬程式,和可以消除追蹤跡證並癱瘓微軟作業系統的MBR Eraser惡意程式;當時甚至為了要降低遠端進入銀行內部系統的風險,駭客,也使用了合法的遠端登入的應用程式,例如Ammy Admin及Team Viewer。

直到2014年,這個俄羅斯黑幫也發展出完整的金融詐欺惡意程式Anunak,除了整合原本已經開源的銀行木馬程式Carberp,也將一些常見應用程式整合在這個惡意程式的套件中,包括:可以擷取本地端與網域端使用者帳號密碼的工具Mimikatz;癱瘓作業系統的MBr Eraser;可以掃描網段和內網的SoftPerfect Network scanner;可取得密碼的Cain & Abel;取得密碼並可以遠端遙控的SSHD後門程式;以及遠端遙控程式Ammy Admin及Team Viewer的功能。

事前預防和事後應變建議

儘管一銀ATM遭駭事件類似這份資安報告所提及的俄羅斯黑幫手法,不過,勤業眾信企業風險管理副總經理溫紹群認為,仍有待檢警調最後公布的調查結果才能確定,但是其他的金融業者,則為了降低可能的風險,已紛紛暫停使用受駭的同款ATM型號(WINCOR pro cash 1500)並進行全面檢測。溫紹群建議,在相關事件發生原因並不明朗的情況下,可從事前預防及事後應變雙管其下。

在事前預防方面,他提供5點建議,首先,金融業者除了要全面盤點ATM同型號設備,評估風險後,可考量將該款機型全面暫停服務,若無法全面暫停服務,建議非營業時段是否考量少放點鈔票;其次,建議此ATM同型號設備,有關程式執行之權限控制,以白名單方式進行控管;第三,針對此ATM同型號的設備進行惡意程式檢測作業(如系統異常行為檢測);第四,確認近期是否有ATM設備換版、中央派送及到場軟硬體維修保養紀錄;最後,需另行盤點負責維運此ATM同型號設備的委外廠商人員。

至於事後應變,主要是指當ATM設備有發生異常情況時的因應策略,溫紹群也有3點建議,包括:依據數位鑑識程序針對被盜ATM的硬體進行記憶體擷取及硬碟證據保全作業;確認系統所執行程序(Process)及服務/排程/Autorun等主機行為資訊;和檢查應用程式與前幾代版本之內容差異。


Advertisement

更多 iThome相關內容