示意圖,與新聞事件無關。

安全業者卡巴斯基周三公佈,今年稍早兩間俄羅斯銀行遭駭客以無檔案惡意程式攻擊ATM,令ATM主動吐出大把鈔票時趁勢劫走,而且事後幾乎完全找不到跡證。
 
The Hacker News Motherboard報導,這起離奇案件作案時間太快令人措手不及,唯一證據是3月20日一台監視器拍到一名神祕人士出現抱走 ATM吐出的鈔票揚長而去,完全沒有破壞任何機器。至少8台ATM被駭,銀行方面損失高達80萬美元。
 
接獲受害銀行委託調查的卡巴斯基研究人員指出,該團體的無檔案攻擊手法十分高明,以致於銀行鑑識專家及研究唯一找得到證據只剩下ATM硬碟裏包含二個惡意程式log的檔案,當中留有Take the Money Bitch!及Dispense Success的字串。不過研究人員就從以逐步追查出惡意程式及整個犯罪手法。卡巴斯基後來將之命名為ATMitch。
 
研究人員分析發現(下圖,來源:卡巴斯基),駭客攻擊手法分成二階段。第一階段是尋找有漏洞沒修補的ATM網路管理伺服器,並以Windows 工具及Meterpreter、PowerShell script等攻擊工具,在伺服器記憶體中植入惡意程式,並和外部C &C伺服器建立連結,且暗中蒐集管理員密碼。由於它並不存在硬碟中,因而不會被防毒軟體偵測到,同時會隨著系統重開機而消失。


 

在接下來的第二階段中(下),駭客透過RDP與ATM建立連結,並在ATM中植入ATMitch。ATMitch會找尋讀取駭客存在ATM硬碟中的command.txt檔案。這些檔案內含單一字母組成的指令,如O代表開啟提款機(Open dispenser)、D代表發鈔(Dispense)。


 
隨後駭客在遠端等同夥出現在ATM前,即下達指令要求任何一台提款機吐出他想要的鈔票張數。做案後駭客即遠端刪除ATM的惡意程式,使所有犯罪蹤跡消失不見。
 
卡巴斯基首席安全研究人員Sergey Golovanov指出,犯下本案的駭客在第一階段使用開源攻擊程式、常見的Windows工具 及不知名網域,以及無檔案攻擊手法,使得犯案元兇難以追查。不過從駭客使用的俄語來判斷,以2014年利用APT手法犯下銀行入侵案的CGMAN或Carbanak嫌疑最大。
 
這已非第一起ATM駭客攻擊案。去年7月台灣的第一銀行全台41 台ATM遭駭被竊走8000多萬,隨後泰國及歐洲也分別傳出ATM搶劫案。

 


Advertisement

更多 iThome相關內容