7月10日凌晨5点半,一名头戴黑白帽和大口罩的男子,走近台北四平街市场附近的一银吉林分行ATM提款机,一把一把地,接连从提款机吐钞口,拿出一叠叠厚钞,不需提款卡,没输入任何密码,甚至不用接触ATM就能领钱,仿佛像电影情节一般,ATM成了一台源源不绝地任意吐钞的机器。不只这家分行,7月第二个周末凌晨,第一银行台北和台中市合计有22家分行共41台ATM都遭人清空,累计遭盗走了8,327万7,600元。
也因为发生如此重大且震惊全台社会和金融圈的案件,包括警察单位和调查局等,都用尽全力、几乎是不眠不休地进行搜查,彼此扮演不同分工合作的角色,警方负责查缉从涉案车手到洗钱的犯罪份子,调查局资安鉴识实验室则解析相关犯罪手法,找到远端遥控的恶意程式以及可能的入侵路径等。双方分进合击,试图拼凑这起台湾史上,第一次没有提款卡也能盗领大量现金的犯罪案件全貌。
事情发生在台风假的隔天,全台还在关心台铁松山火车站爆炸事件的后续发展时,在10、11日清晨,来自于包括俄罗斯的十多名负责领钱的车手们,分别于第一银行台中和台北等22间分行、41台ATM自动提款机,总共从ATM盗领8,327万元。在周一消息曝光后不久警方也公布了可疑嫌犯照片,发布通缉公告。
透过绵密的监控设备,逮到洗钱的嫌犯并追回赃款
警方案发不久就能锁定可疑嫌犯,正是因为台湾有一套绵密的监控视讯系统。
首先,警方在不同的监控摄影机中,发现了同一台汽车,列为高度可疑的犯案车辆,再透过车牌辨识系统,快速找到这台汽车来自租车公司,从中进一步调查租车的外籍车手行踪。尔后,透过车手的通联记录,找到更多相互联系的同伙,才能够陆续查出在这起ATM盗领事件中,究竟还有哪些共犯,最后发现至少多达16、17人犯案。但也因此发现,领款车手角色的嫌犯,都已在案发第三天就先后出境了。
原先以为车手出境,这起盗领事件可能就这样无疾而终,不过,或许就是因为俄罗斯黑帮之间的分工角色相对精密,彼此只扮演整起事件中的部分环节,即便车手出境,却有负责洗钱、处理赃款的角色,跟着入境,接手后续洗钱处理的事件,台湾警方才有机会循线追人、逮人,更顺便追回大部分的赃款。
不到10天,警方在7月18日逮捕3名在台湾的外籍洗钱嫌犯后,找回6,024万元,警政署长陈国恩宣布破案,2天后更在台北市内湖区的西湖公园草丛中,陆续找到其余一千多万元,仅剩数百万元未寻获。
不过,虽然捉到洗钱嫌犯,也顺利找回大部分遭盗款项,但是,俄罗斯黑帮究竟是如何远端遥控ATM盗领大笔金额?所谓的一银伦敦分行是否就真的是骇客入侵的端点?为什么应该控管严谨的银行内网,骇客有办法入侵并且植入恶意程式?所谓的ATM封闭网络,就真的安全吗?台湾银行业者的资安防护,真的已经濒临溃堤的边缘吗?除了一银之外,是不是还有其他银行业者遭骇客锁定,恐成为下一个被入侵的肉票呢?
第一个遭逮捕的拉脱维亚籍洗钱嫌犯安德鲁被移送时,面对大量警方和媒体询问下,曾经幽幽地说出:“你们只是担心那些被抢的钱。”更让人觉得这起犯罪事件背后可能并不单纯,如果无法找出俄罗斯黑帮如何渗透到一银内部网络,如何在ATM植入恶意程式,这起犯罪案件还不算真正地破案。
恶意程式具备自毁匿踪能力,事后追查难度高
在警方大动作追人追款之际,调查局也没闲着。事情发生后,第一银行先将发生金额短少的41台ATM设备,陆续送到调查局的资安鉴识实验室进行检测,希望从中找到任何蛛丝马迹,回溯骇客可能的入侵路径。
一开始,这批ATM的数位鉴识过程并不顺利。分析了多台ATM,连一丁点可疑的恶意程式足迹都找不到,调查局鉴识团队没有放弃,全体成员不眠不休投入,终于在案发的第二天,找出三只可能的恶意程式,第三天就分析出程式功能,对外界说明这些恶意程式和一个批次档各自的用途。
进一步反组译恶意程式样本后,调查局资安鉴识团队猛然发现,为何先前多台受骇ATM中,一点都找不到任何迹证?主因就是这些恶意程式中,有一个用于删除的批次档cleanup.bat,会透过系统内建加密删除工具sdelete.exe,来移除藏在ATM内部的所有恶意程式和相关档案,做到来去不留痕迹,而调查局发现恶意程式的那一台ATM,其实是因为自毁程式执行失效才留下把柄。
调查局发现,一银伦敦分行是骇客入侵的端点之一
找出了恶意程式,确认ATM遭骇,但是这些恶意程式从哪来是下一个要解决的问题,再加上这些木马都不具备远端连线功能,无法透过骇客常用的C&C跳板服务器来遥控,骇客势必得远端手动操控才能执行。
调查局转而聚焦于清查一银内网的各种异常连线记录,终于找到了在7月9日时大量来自海外一银伦敦分行连线到台湾ATM的记录,发动大量连线的系统是伦敦分行的电话录音服务器。但是,一银这家伦敦分行没有ATM业务,不需连线回台湾ATM,不应出现任何连线记录,而对位于台湾的ATM设备,也不应该出现对外的异常连线。调查局因此而能推断,一银伦敦分行就是造成这次事件的骇客入侵端点之一,骇客入侵了这台服务器做为跳板,再进一步攻入总行的ATM。
调查局连夜请一银伦敦分行的主管赶回台湾,同时带回3颗硬盘,包括了遭骇服务器内的2颗硬盘,和遭入侵PC的硬盘。
不过,调查局调查工作还未结束,还有其他可能受骇的主机正在鉴识中,调查局资安科科长周台维一再强调,一银伦敦分行的受骇主机,只是可能受骇的主机之一,还有其他可能性,调查局不排除,除了一银伦敦分行之外,骇客还从其他可能的受骇主机端点入侵。
调查局目前虽然仍不愿意排除内鬼接应的可能性,但是从APT(进阶持续性威胁)攻击的角度分析,也有可能是透过鱼叉式钓鱼邮件(Spear Phishing)的方式,先入侵伦敦分行行员的个人电脑后,再借由内部横向移动的方式,进一步掌控伦敦分行内网主机以及电话录音系统。
ForceShield技术长林育民早在十年前就曾示范用ATM漏洞,远端控制Wincor牌ATM,成功遥控吐钞。他表示,ATM安全弱点可分为3大类,一是内鬼所为,如内部人员及维护厂商动手脚,其次是骇客直接从外部入侵,第三则是利用软硬件漏洞取得ATM的控制权限。
林育民认为,从目前调查局释出的资料看来,一银ATM盗领事件像是骇客直接从外部入侵造成的资安事件。
调查局新北市调查处在18日晚上10点,揭露了最新的数位鉴识结果,以及所拼凑出来的一银遭骇流程,我们汇整近2周所揭露的各项调查资讯,以及资安专家的看法,进一步画出了更详细的第一银行ATM盗领事件遭骇流程图,也向调查局再次查证,确认新的流程几乎和目前案情100%相似。
骇客集团6阶段入侵ATM
根据调查局所揭露的资料,可以将骇客入侵一银ATM的流程,分成6个阶段,包括了阶段1、从分行入侵内网。阶段2、建立内网潜伏基地。阶段3、暗中搜集入侵情报。阶段4、ATM入侵准备、阶段5、开启ATM远端控制、阶段6、植入ATM控制木马,发动盗领。
第一银行ATM盗领事件遭骇流程示意图
阶段1 从分行入侵内网
虽然调查局仍不愿意排除内鬼接应的可能性,但根据数位鉴识结果,可推测骇客首先入侵的是个人电脑。从APT(进阶持续性威胁)攻击的角度来分析,骇客有可能透过鱼叉式钓鱼邮件的方式,骗取伦敦分行行员点选连结,下载木马软件,入侵其个人电脑后取得进入内网的能力。
阶段2 建立内网潜伏基地
攻占一台内网PC之后,骇客就等于在内网埋了一颗棋子,下一步就是要建立一个具备管理者权限的内网潜伏基地,可提供对外连线能力和入侵台湾内网的跳板,根据资安专家分析,骇客取得一台内网PC的控制权后,很容易取得更多内网情报,甚至是管理者账号密码。
据了解,一银的海外分行都各自有专线连回台湾总行,从骇客可以如入无人之境的侵门踏户来看,至少确定,总行对于海外分行登入连线的部分,并没有进行相当严格的身份确认,加上有内网专线的帮忙,使得海外分行和总行系统,并没有实质且明显的分野。
调查局主管曾经私下透露,一银在保护客户资料的数据库系统,采取了非常严谨的防护措施,但是对于内部系统之间的使用,可能是基于“都是自己人”的心态,加上一般员工都不想要太麻烦的认证系统,这也使得海外分行和台湾总行连接的系统,往往只需要简单的账号、密码就可以顺利登入。
也因此,骇客控制了一台不起眼的录音系统服务器,进一步透过这台服务器建立潜伏基地,展开了进军台湾总行内网的行动。
阶段3 暗中搜集入侵情报
因为录音系统也是一银内部系统之一,穿透防火墙的存取连线行为也是合法行为,不易遭监控软件发现。
后来发现储存在ATM系统的木马程式,是储存在C:\install以及C:\Documents and Setting\Administrator\两个目录中。
资安专家指出,如果透过软件派送的恶意程式,在上述两个资料夹中都有发现,就逻辑推论,派送的软件应该比取得管理员权限的程式,可能更早1~2个月,骇客就已经进入分行的内部系统中放置木马。
在这段期间,骇客不仅掌握了第一银行总行内网的网络拓朴,至少概略架构可以得知,另外也能发现,一银ATM更新方式,不是过去的实体光碟更新,而是透过一套软件派送服务器来更新ATM程式,骇客只要窃取了派送系统管理者帐密,再搜集到ATM的实体位置和IP的对应,就能明确攻击特定位置的任一台ATM,例如这次就是锁定北中22家分行的ATM。
阶段4 ATM入侵准备
根据调查局追踪,骇客在7月4日透过ATM软件派送服务器,发送了一个可以开启ATM远端连线服务(Telnet Service)的DMS更新包,可将Telnet服务从手动模式转为自动开启模式。
阶段5 开启ATM远端控制
收到这个更新包的ATM系统,自动按照例行系统更新程序执行,等到下一次系统重新开机后,ATM就会自动开启了远端连线服务,让骇客可以远端控制这台ATM。
根据调查局统计,除了41台成功遭骇的ATM,另有3台ATM也遭植入木马,但骇客没有成功控制ATM。可推测,可能是因这3台ATM还未重开机,因此没有套用骇客客制的更新包而躲过一劫。
阶段6 植入ATM控制木马,发动盗领
过了几天,7月9日时,骇客再次从远端登入,开始将木马程式派送到ATM设备中,包括了控制ATM远端吐钞程式cngdisp.exe及cngdisp_new.exe,以及显示受骇ATM资讯的恶意程式cnginfo.exe。
另外还上传了一个批次档cleanup.bat,可用来执行微软内建加密删除工具sdelete.exe,销毁所有木马程式。
远端骇客先透过Telnet在ATM执行恶意程式cnginfo.exe开启吐钞口,负责取款的车手早在几天前就先入境台湾,在远端骇客指定的时间到特定ATM面前,来确认吐钞口是否开启,若成功开启表示该ATM已遭控制,车手就回报给远端骇客进行下一个动作。
远端骇客确认入侵成功后,开始执行远端执行cngdisp.exe或cngdisp_new.exe吐钞,每次吐钞60张。所以,从ATM监视影片上才看到,车手完全不用接触ATM或输入密码,就能取款。清空这台ATM的钞票后,车手再前往下一台ATM继续盗领。而远端骇客也会执行自动删除批次档cleanup.bat,用sdelete.exe删除所有入侵木马程式和Log记录档。
从银行治理上,第一银行一直是模范生,是非常早期就已经取得包括ISO 27001和ISO 20000双认证的单位,加上金管会对于银行向来是高度控管,而且一银在ATM上,也一直都还是采用SNA封闭网络架构的银行,也难怪,爆发ATM盗领事件时,震惊社会及金融圈。
资安专家表示,从目前外界可以获得的资讯来看,一银的ATM网络和内部办公网络并没有有效隔离,一银对ATM上启动哪些服务和操作系统日志都没有监控,这也会造成一银爆发如此重大ATM盗领事件时,无法有任何事先预警机制。
若进一步解析第一银行的IT治理,我们也可以发现盲点所在。
首先,不论是ISO 27001或者是ISO 20000,都是以资讯单位为认证范围的认证,加上,金融业长期认为,封闭网络系统的ATM是比较安全的,都使得一银缺乏足够的警觉性面对这样的盗领事件。
再者,一银的ATM设备虽都有安装防毒软件,但这次木马软件得经过调查局鉴识后,才确定为恶意程式,对防毒软件而言,很难事前分辨出这是恶意程式来拦截,只会判定为是一种具备特殊功能的执行档时。
白名单控管ATM存取更安全
不少资安专家建议,银行面对这类关键服务时,应该以白名单方式来控管,仅允许少数合法程式可以在ATM系统中执行,而非由防毒软件来判断应用程序的安全性。
第三,ATM装置上缺乏相关的预警系统,例如,ATM有异常金钱提领时,为什么没有任何警示;而当ATM的现钞与账务盘点有不符时,第一时间为何没有事先预警等等,也都是让这样的盗领事件,杀的让人措手不及的原因。
许多资安专家都呼吁,不论是一银或其他金融业者,主管机关要求的各种资安与IT管理认证,不应该只是为了认证而认证,不应该将所有经历都放在填ISO表单,全部纸本作业看起来安全,事实证明,就是有可能爆发让人异想不到的资安事件。
“技术性的检验落实,才是IT与资安认证的重点。”一位老牌资安专家语重心长地说。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09