7月10日凌晨5點半,一名頭戴黑白帽和大口罩的男子,走近臺北四平街市場附近的一銀吉林分行ATM提款機,一把一把地,接連從提款機吐鈔口,拿出一疊疊厚鈔,不需提款卡,沒輸入任何密碼,甚至不用接觸ATM就能領錢,彷彿像電影情節一般,ATM成了一臺源源不絕地任意吐鈔的機器。不只這家分行,7月第二個周末凌晨,第一銀行臺北和臺中市合計有22家分行共41臺ATM都遭人清空,累計遭盜走了8,327萬7,600元

也因為發生如此重大且震驚全臺社會和金融圈的案件,包括警察單位和調查局等,都用盡全力、幾乎是不眠不休地進行搜查,彼此扮演不同分工合作的角色,警方負責查緝從涉案車手到洗錢的犯罪份子,調查局資安鑑識實驗室則解析相關犯罪手法,找到遠端遙控的惡意程式以及可能的入侵路徑等。雙方分進合擊,試圖拼湊這起臺灣史上,第一次沒有提款卡也能盜領大量現金的犯罪案件全貌。

事情發生在颱風假的隔天,全臺還在關心臺鐵松山火車站爆炸事件的後續發展時,在10、11日清晨,來自於包括俄羅斯的十多名負責領錢的車手們,分別於第一銀行臺中和臺北等22間分行、41臺ATM自動提款機,總共從ATM盜領8,327萬元。在周一消息曝光後不久警方也公布了可疑嫌犯照片,發布通緝公告。

透過綿密的監控設備,逮到洗錢的嫌犯並追回贓款

警方案發不久就能鎖定可疑嫌犯,正是因為臺灣有一套綿密的監控視訊系統。

首先,警方在不同的監控攝影機中,發現了同一臺汽車,列為高度可疑的犯案車輛,再透過車牌辨識系統,快速找到這臺汽車來自租車公司,從中進一步調查租車的外籍車手行蹤。爾後,透過車手的通聯記錄,找到更多相互聯繫的同夥,才能夠陸續查出在這起ATM盜領事件中,究竟還有哪些共犯,最後發現至少多達16、17人犯案。但也因此發現,領款車手角色的嫌犯,都已在案發第三天就先後出境了。

原先以為車手出境,這起盜領事件可能就這樣無疾而終,不過,或許就是因為俄羅斯黑幫之間的分工角色相對精密,彼此只扮演整起事件中的部分環節,即便車手出境,卻有負責洗錢、處理贓款的角色,跟著入境,接手後續洗錢處理的事件,臺灣警方才有機會循線追人、逮人,更順便追回大部分的贓款。

不到10天,警方在7月18日逮捕3名在臺灣的外籍洗錢嫌犯後,找回6,024萬元,警政署長陳國恩宣布破案,2天後更在臺北市內湖區的西湖公園草叢中,陸續找到其餘一千多萬元,僅剩數百萬元未尋獲。

不過,雖然捉到洗錢嫌犯,也順利找回大部分遭盜款項,但是,俄羅斯黑幫究竟是如何遠端遙控ATM盜領大筆金額?所謂的一銀倫敦分行是否就真的是駭客入侵的端點?為什麼應該控管嚴謹的銀行內網,駭客有辦法入侵並且植入惡意程式?所謂的ATM封閉網路,就真的安全嗎?臺灣銀行業者的資安防護,真的已經瀕臨潰堤的邊緣嗎?除了一銀之外,是不是還有其他銀行業者遭駭客鎖定,恐成為下一個被入侵的肉票呢?

第一個遭逮捕的拉脫維亞籍洗錢嫌犯安德魯被移送時,面對大量警方和媒體詢問下,曾經幽幽地說出:「你們只是擔心那些被搶的錢。」更讓人覺得這起犯罪事件背後可能並不單純,如果無法找出俄羅斯黑幫如何滲透到一銀內部網路,如何在ATM植入惡意程式,這起犯罪案件還不算真正地破案。

惡意程式具備自毀匿蹤能力,事後追查難度高

在警方大動作追人追款之際,調查局也沒閒著。事情發生後,第一銀行先將發生金額短少的41臺ATM設備,陸續送到調查局的資安鑑識實驗室進行檢測,希望從中找到任何蛛絲馬跡,回溯駭客可能的入侵路徑。

一開始,這批ATM的數位鑑識過程並不順利。分析了多臺ATM,連一丁點可疑的惡意程式足跡都找不到,調查局鑑識團隊沒有放棄,全體成員不眠不休投入,終於在案發的第二天,找出三隻可能的惡意程式,第三天就分析出程式功能,對外界說明這些惡意程式和一個批次檔各自的用途。

進一步反組譯惡意程式樣本後,調查局資安鑑識團隊猛然發現,為何先前多臺受駭ATM中,一點都找不到任何跡證?主因就是這些惡意程式中,有一個用於刪除的批次檔cleanup.bat,會透過系統內建加密刪除工具sdelete.exe,來移除藏在ATM內部的所有惡意程式和相關檔案,做到來去不留痕跡,而調查局發現惡意程式的那一臺ATM,其實是因為自毀程式執行失效才留下把柄。

調查局發現,一銀倫敦分行是駭客入侵的端點之一

找出了惡意程式,確認ATM遭駭,但是這些惡意程式從哪來是下一個要解決的問題,再加上這些木馬都不具備遠端連線功能,無法透過駭客常用的C&C跳板伺服器來遙控,駭客勢必得遠端手動操控才能執行。

調查局轉而聚焦於清查一銀內網的各種異常連線記錄,終於找到了在7月9日時大量來自海外一銀倫敦分行連線到臺灣ATM的記錄,發動大量連線的系統是倫敦分行的電話錄音伺服器。但是,一銀這家倫敦分行沒有ATM業務,不需連線回臺灣ATM,不應出現任何連線記錄,而對位於臺灣的ATM設備,也不應該出現對外的異常連線。調查局因此而能推斷,一銀倫敦分行就是造成這次事件的駭客入侵端點之一,駭客入侵了這臺伺服器做為跳板,再進一步攻入總行的ATM。

調查局連夜請一銀倫敦分行的主管趕回臺灣,同時帶回3顆硬碟,包括了遭駭伺服器內的2顆硬碟,和遭入侵PC的硬碟。

不過,調查局調查工作還未結束,還有其他可能受駭的主機正在鑑識中,調查局資安科科長周台維一再強調,一銀倫敦分行的受駭主機,只是可能受駭的主機之一,還有其他可能性,調查局不排除,除了一銀倫敦分行之外,駭客還從其他可能的受駭主機端點入侵。

調查局目前雖然仍不願意排除內鬼接應的可能性,但是從APT(進階持續性威脅)攻擊的角度分析,也有可能是透過魚叉式釣魚郵件(Spear Phishing)的方式,先入侵倫敦分行行員的個人電腦後,再藉由內部橫向移動的方式,進一步掌控倫敦分行內網主機以及電話錄音系統。

ForceShield技術長林育民早在十年前就曾示範用ATM漏洞,遠端控制Wincor牌ATM,成功遙控吐鈔。他表示,ATM安全弱點可分為3大類,一是內鬼所為,如內部人員及維護廠商動手腳,其次是駭客直接從外部入侵,第三則是利用軟硬體漏洞取得ATM的控制權限。

林育民認為,從目前調查局釋出的資料看來,一銀ATM盜領事件像是駭客直接從外部入侵造成的資安事件。

調查局新北市調查處在18日晚上10點,揭露了最新的數位鑑識結果,以及所拼湊出來的一銀遭駭流程,我們彙整近2周所揭露的各項調查資訊,以及資安專家的看法,進一步畫出了更詳細的第一銀行ATM盜領事件遭駭流程圖,也向調查局再次查證,確認新的流程幾乎和目前案情100%相似。

駭客集團6階段入侵ATM

根據調查局所揭露的資料,可以將駭客入侵一銀ATM的流程,分成6個階段,包括了階段1、從分行入侵內網。階段2、建立內網潛伏基地。階段3、暗中蒐集入侵情報。階段4、ATM入侵準備、階段5、開啟ATM遠端控制、階段6、植入ATM控制木馬,發動盜領。

 第一銀行ATM盜領事件遭駭流程示意圖 

 階段1  從分行入侵內網

雖然調查局仍不願意排除內鬼接應的可能性,但根據數位鑑識結果,可推測駭客首先入侵的是個人電腦。從APT(進階持續性威脅)攻擊的角度來分析,駭客有可能透過魚叉式釣魚郵件的方式,騙取倫敦分行行員點選連結,下載木馬軟體,入侵其個人電腦後取得進入內網的能力。

 階段2  建立內網潛伏基地

攻佔一臺內網PC之後,駭客就等於在內網埋了一顆棋子,下一步就是要建立一個具備管理者權限的內網潛伏基地,可提供對外連線能力和入侵臺灣內網的跳板,根據資安專家分析,駭客取得一臺內網PC的控制權後,很容易取得更多內網情報,甚至是管理者帳號密碼。

據了解,一銀的海外分行都各自有專線連回臺灣總行,從駭客可以如入無人之境的侵門踏戶來看,至少確定,總行對於海外分行登入連線的部分,並沒有進行相當嚴格的身分確認,加上有內網專線的幫忙,使得海外分行和總行系統,並沒有實質且明顯的分野。

調查局主管曾經私下透露,一銀在保護客戶資料的資料庫系統,採取了非常嚴謹的防護措施,但是對於內部系統之間的使用,可能是基於「都是自己人」的心態,加上一般員工都不想要太麻煩的認證系統,這也使得海外分行和臺灣總行連接的系統,往往只需要簡單的帳號、密碼就可以順利登入。

也因此,駭客控制了一臺不起眼的錄音系統伺服器,進一步透過這臺伺服器建立潛伏基地,展開了進軍臺灣總行內網的行動。

 階段3  暗中蒐集入侵情報

因為錄音系統也是一銀內部系統之一,穿透防火牆的存取連線行為也是合法行為,不易遭監控軟體發現。

後來發現儲存在ATM系統的木馬程式,是儲存在C:\install以及C:\Documents and Setting\Administrator\兩個目錄中。

資安專家指出,如果透過軟體派送的惡意程式,在上述兩個資料夾中都有發現,就邏輯推論,派送的軟體應該比取得管理員權限的程式,可能更早1~2個月,駭客就已經進入分行的內部系統中放置木馬。

在這段期間,駭客不僅掌握了第一銀行總行內網的網路拓樸,至少概略架構可以得知,另外也能發現,一銀ATM更新方式,不是過去的實體光碟更新,而是透過一套軟體派送伺服器來更新ATM程式,駭客只要竊取了派送系統管理者帳密,再蒐集到ATM的實體位置和IP的對應,就能明確攻擊特定位置的任一臺ATM,例如這次就是鎖定北中22家分行的ATM。

 階段4  ATM入侵準備

根據調查局追蹤,駭客在7月4日透過ATM軟體派送伺服器,發送了一個可以開啟ATM遠端連線服務(Telnet Service)的DMS更新包,可將Telnet服務從手動模式轉為自動開啟模式。

 階段5  開啟ATM遠端控制

收到這個更新包的ATM系統,自動按照例行系統更新程序執行,等到下一次系統重新開機後,ATM就會自動開啟了遠端連線服務,讓駭客可以遠端控制這臺ATM。

根據調查局統計,除了41臺成功遭駭的ATM,另有3臺ATM也遭植入木馬,但駭客沒有成功控制ATM。可推測,可能是因這3臺ATM還未重開機,因此沒有套用駭客客制的更新包而躲過一劫。

 階段6  植入ATM控制木馬,發動盜領

過了幾天,7月9日時,駭客再次從遠端登入,開始將木馬程式派送到ATM設備中,包括了控制ATM遠端吐鈔程式cngdisp.exe及cngdisp_new.exe,以及顯示受駭ATM資訊的惡意程式cnginfo.exe。

另外還上傳了一個批次檔cleanup.bat,可用來執行微軟內建加密刪除工具sdelete.exe,銷毀所有木馬程式。

遠端駭客先透過Telnet在ATM執行惡意程式cnginfo.exe開啟吐鈔口,負責取款的車手早在幾天前就先入境臺灣,在遠端駭客指定的時間到特定ATM面前,來確認吐鈔口是否開啟,若成功開啟表示該ATM已遭控制,車手就回報給遠端駭客進行下一個動作。

遠端駭客確認入侵成功後,開始執行遠端執行cngdisp.exe或cngdisp_new.exe吐鈔,每次吐鈔60張。所以,從ATM監視影片上才看到,車手完全不用接觸ATM或輸入密碼,就能取款。清空這臺ATM的鈔票後,車手再前往下一臺ATM繼續盜領。而遠端駭客也會執行自動刪除批次檔cleanup.bat,用sdelete.exe刪除所有入侵木馬程式和Log記錄檔。

從銀行治理上,第一銀行一直是模範生,是非常早期就已經取得包括ISO 27001和ISO 20000雙認證的單位,加上金管會對於銀行向來是高度控管,而且一銀在ATM上,也一直都還是採用SNA封閉網路架構的銀行,也難怪,爆發ATM盜領事件時,震驚社會及金融圈。

資安專家表示,從目前外界可以獲得的資訊來看,一銀的ATM網路和內部辦公網路並沒有有效隔離,一銀對ATM上啟動哪些服務和作業系統日誌都沒有監控,這也會造成一銀爆發如此重大ATM盜領事件時,無法有任何事先預警機制。

若進一步解析第一銀行的IT治理,我們也可以發現盲點所在。

首先,不論是ISO 27001或者是ISO 20000,都是以資訊單位為認證範圍的認證,加上,金融業長期認為,封閉網路系統的ATM是比較安全的,都使得一銀缺乏足夠的警覺性面對這樣的盜領事件。

再者,一銀的ATM設備雖都有安裝防毒軟體,但這次木馬軟體得經過調查局鑑識後,才確定為惡意程式,對防毒軟體而言,很難事前分辨出這是惡意程式來攔截,只會判定為是一種具備特殊功能的執行檔時。

白名單控管ATM存取更安全

不少資安專家建議,銀行面對這類關鍵服務時,應該以白名單方式來控管,僅允許少數合法程式可以在ATM系統中執行,而非由防毒軟體來判斷應用程式的安全性。

第三,ATM裝置上缺乏相關的預警系統,例如,ATM有異常金錢提領時,為什麼沒有任何警示;而當ATM的現鈔與帳務盤點有不符時,第一時間為何沒有事先預警等等,也都是讓這樣的盜領事件,殺的讓人措手不及的原因。

許多資安專家都呼籲,不論是一銀或其他金融業者,主管機關要求的各種資安與IT管理認證,不應該只是為了認證而認證,不應該將所有經歷都放在填ISO表單,全部紙本作業看起來安全,事實證明,就是有可能爆發讓人異想不到的資安事件。

「技術性的檢驗落實,才是IT與資安認證的重點。」一位老牌資安專家語重心長地說。


Advertisement

更多 iThome相關內容