http://www.ithome.com.tw/news/107294
遙控臺北、臺中22家第一銀行分行內41臺ATM的操作指令,
竟來自遠在1萬公里外的英國,
一臺第一銀行倫敦分行內鎖在鐵櫃中的電話錄音伺服器主機,
成了駭客遠端遙控ATM大吐鈔的跳板。
根據調查局目前揭露的資料,可以將駭客入侵一銀ATM的流程,分成6個階段
文/黃彥棻 | 2016-07-25發表
7月10日凌晨5點半,一名頭戴黑白帽和大口罩的男子,
走近臺北四平街市場附近的一銀吉林分行ATM提款機,
一把一把地,接連從提款機吐鈔口,拿出一疊疊厚鈔,
不需提款卡,沒輸入任何密碼,甚至不用接觸ATM就能領錢,
彷彿像電影情節一般,ATM成了一臺源源不絕地任意吐鈔的機器。
不只這家分行,7月第二個周末凌晨,
第一銀行臺北和臺中市合計有22家分行共41臺ATM都遭人清空,
累計遭盜走了8,327萬7,600元。
也因為發生如此重大且震驚全臺社會和金融圈的案件,
包括警察單位和調查局等,都用盡全力、幾乎是不眠不休地進行搜查,
彼此扮演不同分工合作的角色,警方負責查緝從涉案車手到洗錢的犯罪份子,
調查局資安鑑識實驗室則解析相關犯罪手法,
找到遠端遙控的惡意程式以及可能的入侵路徑等。
雙方分進合擊,試圖拼湊這起臺灣史上,
第一次沒有提款卡也能盜領大量現金的犯罪案件全貌。
事情發生在颱風假的隔天,全臺還在關心臺鐵松山火車站爆炸事件的後續發展時,
在10、11日清晨,來自於包括俄羅斯的十多名負責領錢的車手們,
分別於第一銀行臺中和臺北等22間分行、41臺ATM自動提款機,
總共從ATM盜領8,327萬元。
在周一消息曝光後不久警方也公布了可疑嫌犯照片,發布通緝公告。
透過綿密的監控設備,逮到洗錢的嫌犯並追回贓款
警方案發不久就能鎖定可疑嫌犯,正是因為臺灣有一套綿密的監控視訊系統。
首先,警方在不同的監控攝影機中,發現了同一臺汽車,列為高度可疑的犯案車輛,
再透過車牌辨識系統,快速找到這臺汽車來自租車公司,
從中進一步調查租車的外籍車手行蹤。
爾後,透過車手的通聯記錄,找到更多相互聯繫的同夥,
才能夠陸續查出在這起ATM盜領事件中,究竟還有哪些共犯,
最後發現至少多達16、17人犯案。
但也因此發現,領款車手角色的嫌犯,都已在案發第三天就先後出境了。
原先以為車手出境,這起盜領事件可能就這樣無疾而終,不過,
或許就是因為俄羅斯黑幫之間的分工角色相對精密,
彼此只扮演整起事件中的部分環節,即便車手出境,
卻有負責洗錢、處理贓款的角色,跟著入境,接手後續洗錢處理的事件,
臺灣警方才有機會循線追人、逮人,更順便追回大部分的贓款。
不到10天,警方在7月18日逮捕3名在臺灣的外籍洗錢嫌犯後,
找回6,024萬元,警政署長陳國恩宣布破案,
2天後更在臺北市內湖區的西湖公園草叢中,陸續找到其餘一千多萬元,
僅剩數百萬元未尋獲。
不過,雖然捉到洗錢嫌犯,也順利找回大部分遭盜款項,但是,
俄羅斯黑幫究竟是如何遠端遙控ATM盜領大筆金額?
所謂的一銀倫敦分行是否就真的是駭客入侵的端點?
為什麼應該控管嚴謹的銀行內網,駭客有辦法入侵並且植入惡意程式?
所謂的ATM封閉網路,就真的安全嗎?
臺灣銀行業者的資安防護,真的已經瀕臨潰堤的邊緣嗎?
除了一銀之外,是不是還有其他銀行業者遭駭客鎖定,恐成為下一個被入侵的肉票呢?
第一個遭逮捕的拉脫維亞籍洗錢嫌犯安德魯被移送時,
面對大量警方和媒體詢問下,曾經幽幽地說出:
「你們只是擔心那些被搶的錢。」
更讓人覺得這起犯罪事件背後可能並不單純,
如果無法找出俄羅斯黑幫如何滲透到一銀內部網路,
如何在ATM植入惡意程式,這起犯罪案件還不算真正地破案。
惡意程式具備自毀匿蹤能力,事後追查難度高
在警方大動作追人追款之際,調查局也沒閒著。
事情發生後,第一銀行先將發生金額短少的41臺ATM設備,
陸續送到調查局的資安鑑識實驗室進行檢測,希望從中找到任何蛛絲馬跡,
回溯駭客可能的入侵路徑。
一開始,這批ATM的數位鑑識過程並不順利。
分析了多臺ATM,連一丁點可疑的惡意程式足跡都找不到,
調查局鑑識團隊沒有放棄,全體成員不眠不休投入,終於在案發的第二天,
找出三隻可能的惡意程式,第三天就分析出程式功能,
對外界說明這些惡意程式和一個批次檔各自的用途。
進一步反組譯惡意程式樣本後,調查局資安鑑識團隊猛然發現,
為何先前多臺受駭ATM中,一點都找不到任何跡證?
主因就是這些惡意程式中,有一個用於刪除的批次檔 cleanup.bat,
會透過系統內建加密刪除工具 sdelete.exe,
來移除藏在ATM內部的所有惡意程式和相關檔案,
做到來去不留痕跡,而調查局發現惡意程式的那一臺ATM,
其實是因為自毀程式執行失效才留下把柄。
調查局發現,一銀倫敦分行是駭客入侵的端點之一
找出了惡意程式,確認ATM遭駭,但是這些惡意程式從哪來是下一個要解決的問題,
再加上這些木馬都不具備遠端連線功能,無法透過駭客常用的C&C跳板伺服器來遙控,
駭客勢必得遠端手動操控才能執行。
調查局轉而聚焦於清查一銀內網的各種異常連線記錄,
終於找到了在7月9日時大量來自海外一銀倫敦分行連線到臺灣ATM的記錄,
發動大量連線的系統是倫敦分行的電話錄音伺服器。
但是,一銀這家倫敦分行沒有ATM業務,不需連線回臺灣ATM,
不應出現任何連線記錄,而對位於臺灣的ATM設備,也不應該出現對外的異常連線。
調查局因此而能推斷,一銀倫敦分行就是造成這次事件的駭客入侵端點之一,
駭客入侵了這臺伺服器做為跳板,再進一步攻入總行的ATM。
調查局連夜請一銀倫敦分行的主管趕回臺灣,同時帶回3顆硬碟,
包括了遭駭伺服器內的2顆硬碟,和遭入侵PC的硬碟。
不過,調查局調查工作還未結束,還有其他可能受駭的主機正在鑑識中,
調查局資安科科長周台維一再強調,一銀倫敦分行的受駭主機,
只是可能受駭的主機之一,還有其他可能性,調查局不排除,除了一銀倫敦分行之外,
駭客還從其他可能的受駭主機端點入侵。
調查局目前雖然仍不願意排除內鬼接應的可能性,
但是從APT(進階持續性威脅)攻擊的角度分析,
也有可能是透過魚叉式釣魚郵件(Spear Phishing)的方式,
先入侵倫敦分行行員的個人電腦後,再藉由內部橫向移動的方式,
進一步掌控倫敦分行內網主機以及電話錄音系統。
ForceShield技術長林育民早在十年前就曾示範用ATM漏洞,
遠端控制Wincor牌ATM,成功遙控吐鈔。
他表示,ATM安全弱點可分為3大類,
一是內鬼所為,如內部人員及維護廠商動手腳,
其次是駭客直接從外部入侵,
第三則是利用軟硬體漏洞取得ATM的控制權限。
林育民認為,從目前調查局釋出的資料看來,
一銀ATM盜領事件像是駭客直接從外部入侵造成的資安事件。
調查局新北市調查處在18日晚上10點,揭露了最新的數位鑑識結果,
以及所拼湊出來的一銀遭駭流程,我們彙整近2周所揭露的各項調查資訊,
以及資安專家的看法,進一步畫出了更詳細的第一銀行ATM盜領事件遭駭流程圖,
也向調查局再次查證,確認新的流程幾乎和目前案情100%相似。
駭客集團6階段入侵ATM
根據調查局所揭露的資料,可以將駭客入侵一銀ATM的流程,分成6個階段,
包括了階段1、從分行入侵內網。
階段2、建立內網潛伏基地。
階段3、暗中蒐集入侵情報。
階段4、ATM入侵準備、
階段5、開啟ATM遠端控制、
階段6、植入ATM控制木馬,發動盜領。
第一銀行ATM盜領事件遭駭流程示意圖
http://imgur.com/a/IsdJs
階段1 從分行入侵內網
雖然調查局仍不願意排除內鬼接應的可能性,但根據數位鑑識結果,
可推測駭客首先入侵的是個人電腦。
從APT(進階持續性威脅)攻擊的角度來分析,駭客有可能透過魚叉式釣魚郵件的方式,
騙取倫敦分行行員點選連結,下載木馬軟體,入侵其個人電腦後取得進入內網的能力。
階段2 建立內網潛伏基地
攻佔一臺內網PC之後,駭客就等於在內網埋了一顆棋子,
下一步就是要建立一個具備管理者權限的內網潛伏基地,
可提供對外連線能力和入侵臺灣內網的跳板,根據資安專家分析,
駭客取得一臺內網PC的控制權後,很容易取得更多內網情報,甚至是管理者帳號密碼。
據了解,一銀的海外分行都各自有專線連回臺灣總行,
從駭客可以如入無人之境的侵門踏戶來看,至少確定,
總行對於海外分行登入連線的部分,並沒有進行相當嚴格的身分確認,
加上有內網專線的幫忙,使得海外分行和總行系統,並沒有實質且明顯的分野。
調查局主管曾經私下透露,一銀在保護客戶資料的資料庫系統,
採取了非常嚴謹的防護措施,但是對於內部系統之間的使用,
可能是基於「都是自己人」的心態,加上一般員工都不想要太麻煩的認證系統,
這也使得海外分行和臺灣總行連接的系統,
往往只需要簡單的帳號、密碼就可以順利登入。
也因此,駭客控制了一臺不起眼的錄音系統伺服器,
進一步透過這臺伺服器建立潛伏基地,展開了進軍臺灣總行內網的行動。
階段3 暗中蒐集入侵情報
因為錄音系統也是一銀內部系統之一,穿透防火牆的存取連線行為也是合法行為,
不易遭監控軟體發現。
後來發現儲存在ATM系統的木馬程式,
是儲存在C:\install
以及C:\Documents and Setting\Administrator\兩個目錄中。
資安專家指出,如果透過軟體派送的惡意程式,在上述兩個資料夾中都有發現,
就邏輯推論,派送的軟體應該比取得管理員權限的程式,可能更早1~2個月,
駭客就已經進入分行的內部系統中放置木馬。
在這段期間,駭客不僅掌握了第一銀行總行內網的網路拓樸,至少概略架構可以得知,
另外也能發現,一銀ATM更新方式,不是過去的實體光碟更新,
而是透過一套軟體派送伺服器來更新ATM程式,駭客只要竊取了派送系統管理者帳密,
再蒐集到ATM的實體位置和IP的對應,就能明確攻擊特定位置的任一臺ATM,
例如這次就是鎖定北中22家分行的ATM。
階段4 ATM入侵準備
根據調查局追蹤,駭客在7月4日透過ATM軟體派送伺服器,
發送了一個可以開啟ATM遠端連線服務(Telnet Service)的DMS更新包,
可將Telnet服務從手動模式轉為自動開啟模式。
階段5 開啟ATM遠端控制
收到這個更新包的ATM系統,自動按照例行系統更新程序執行,
等到下一次系統重新開機後,ATM就會自動開啟了遠端連線服務,
讓駭客可以遠端控制這臺ATM。
根據調查局統計,除了41臺成功遭駭的ATM,另有3臺ATM也遭植入木馬,
但駭客沒有成功控制ATM。
可推測,可能是因這3臺ATM還未重開機,因此沒有套用駭客客制的更新包而躲過一劫。
階段6 植入ATM控制木馬,發動盜領
過了幾天,7月9日時,駭客再次從遠端登入,開始將木馬程式派送到ATM設備中,
包括了控制ATM遠端吐鈔程式cngdisp.exe及cngdisp_new.exe,
以及顯示受駭ATM資訊的惡意程式cnginfo.exe。
另外還上傳了一個批次檔cleanup.bat,
可用來執行微軟內建加密刪除工具sdelete.exe,銷毀所有木馬程式。
遠端駭客先透過Telnet在ATM執行惡意程式cnginfo.exe開啟吐鈔口,
負責取款的車手早在幾天前就先入境臺灣,在遠端駭客指定的時間到特定ATM面前,
來確認吐鈔口是否開啟,若成功開啟表示該ATM已遭控制,
車手就回報給遠端駭客進行下一個動作。
遠端駭客確認入侵成功後,開始執行遠端執行cngdisp.exe或cngdisp_new.exe吐鈔,
每次吐鈔60張。
所以,從ATM監視影片上才看到,車手完全不用接觸ATM或輸入密碼,就能取款。
清空這臺ATM的鈔票後,車手再前往下一臺ATM繼續盜領。
而遠端駭客也會執行自動刪除批次檔cleanup.bat,
用sdelete.exe刪除所有入侵木馬程式和Log記錄檔。
從銀行治理上,第一銀行一直是模範生,
是非常早期就已經取得包括ISO 27001和ISO 20000雙認證的單位,
加上金管會對於銀行向來是高度控管,而且一銀在ATM上,
也一直都還是採用SNA封閉網路架構的銀行,
也難怪,爆發ATM盜領事件時,震驚社會及金融圈。
資安專家表示,從目前外界可以獲得的資訊來看,
一銀的ATM網路和內部辦公網路並沒有有效隔離,
一銀對ATM上啟動哪些服務和作業系統日誌都沒有監控,
這也會造成一銀爆發如此重大ATM盜領事件時,無法有任何事先預警機制。
若進一步解析第一銀行的IT治理,我們也可以發現盲點所在。
首先,不論是ISO 27001或者是ISO 20000,都是以資訊單位為認證範圍的認證,
加上,金融業長期認為,封閉網路系統的ATM是比較安全的,
都使得一銀缺乏足夠的警覺性面對這樣的盜領事件。
再者,一銀的ATM設備雖都有安裝防毒軟體,但這次木馬軟體得經過調查局鑑識後,
才確定為惡意程式,對防毒軟體而言,很難事前分辨出這是惡意程式來攔截,
只會判定為是一種具備特殊功能的執行檔時。
白名單控管ATM存取更安全
不少資安專家建議,銀行面對這類關鍵服務時,應該以白名單方式來控管,
僅允許少數合法程式可以在ATM系統中執行,而非由防毒軟體來判斷應用程式的安全性。
第三,ATM裝置上缺乏相關的預警系統,例如,ATM有異常金錢提領時,
為什麼沒有任何警示;
而當ATM的現鈔與帳務盤點有不符時,第一時間為何沒有事先預警等等,
也都是讓這樣的盜領事件,殺的讓人措手不及的原因。
許多資安專家都呼籲,不論是一銀或其他金融業者,
主管機關要求的各種資安與IT管理認證,不應該只是為了認證而認證,
不應該將所有經歷都放在填ISO表單,全部紙本作業看起來安全,
事實證明,就是有可能爆發讓人異想不到的資安事件。
「技術性的檢驗落實,才是IT與資安認證的重點。」
一位老牌資安專家語重心長地說。