【详细图解】骇客入侵一银ATM流程追追追

7月10日凌晨5点半，一名头戴黑白帽和大口罩的男子，走近台北四平街市场附近的一银吉林分行ATM提款机，一把一把地，接连从提款机吐钞口，拿出一叠叠厚钞，不需提款卡，没输入任何密码，甚至不用接触ATM就能领钱，仿佛像电影情节一般，ATM成了一台源源不绝地任意吐钞的机器。不只这家分行，7月第二个周末凌晨，第一银行台北和台中市合计有22家分行共41台ATM都遭人清空，累计遭盗走了8,327万7,600元。

也因为发生如此重大且震惊全台社会和金融圈的案件，包括警察单位和调查局等，都用尽全力、几乎是不眠不休地进行搜查，彼此扮演不同分工合作的角色，警方负责查缉从涉案车手到洗钱的犯罪份子，调查局资安鉴识实验室则解析相关犯罪手法，找到远端遥控的恶意程式以及可能的入侵路径等。双方分进合击，试图拼凑这起台湾史上，第一次没有提款卡也能盗领大量现金的犯罪案件全貌。

事情发生在台风假的隔天，全台还在关心台铁松山火车站爆炸事件的后续发展时，在10、11日清晨，来自于包括俄罗斯的十多名负责领钱的车手们，分别于第一银行台中和台北等22间分行、41台ATM自动提款机，总共从ATM盗领8,327万元。在周一消息曝光后不久警方也公布了可疑嫌犯照片，发布通缉公告。

透过绵密的监控设备，逮到洗钱的嫌犯并追回赃款

警方案发不久就能锁定可疑嫌犯，正是因为台湾有一套绵密的监控视讯系统。

首先，警方在不同的监控摄影机中，发现了同一台汽车，列为高度可疑的犯案车辆，再透过车牌辨识系统，快速找到这台汽车来自租车公司，从中进一步调查租车的外籍车手行踪。尔后，透过车手的通联记录，找到更多相互联系的同伙，才能够陆续查出在这起ATM盗领事件中，究竟还有哪些共犯，最后发现至少多达16、17人犯案。但也因此发现，领款车手角色的嫌犯，都已在案发第三天就先后出境了。

原先以为车手出境，这起盗领事件可能就这样无疾而终，不过，或许就是因为俄罗斯黑帮之间的分工角色相对精密，彼此只扮演整起事件中的部分环节，即便车手出境，却有负责洗钱、处理赃款的角色，跟着入境，接手后续洗钱处理的事件，台湾警方才有机会循线追人、逮人，更顺便追回大部分的赃款。

不到10天，警方在7月18日逮捕3名在台湾的外籍洗钱嫌犯后，找回6,024万元，警政署长陈国恩宣布破案，2天后更在台北市内湖区的西湖公园草丛中，陆续找到其余一千多万元，仅剩数百万元未寻获。

不过，虽然捉到洗钱嫌犯，也顺利找回大部分遭盗款项，但是，俄罗斯黑帮究竟是如何远端遥控ATM盗领大笔金额？所谓的一银伦敦分行是否就真的是骇客入侵的端点？为什么应该控管严谨的银行内网，骇客有办法入侵并且植入恶意程式？所谓的ATM封闭网络，就真的安全吗？台湾银行业者的资安防护，真的已经濒临溃堤的边缘吗？除了一银之外，是不是还有其他银行业者遭骇客锁定，恐成为下一个被入侵的肉票呢？

第一个遭逮捕的拉脱维亚籍洗钱嫌犯安德鲁被移送时，面对大量警方和媒体询问下，曾经幽幽地说出：“你们只是担心那些被抢的钱。”更让人觉得这起犯罪事件背后可能并不单纯，如果无法找出俄罗斯黑帮如何渗透到一银内部网络，如何在ATM植入恶意程式，这起犯罪案件还不算真正地破案。

恶意程式具备自毁匿踪能力，事后追查难度高

在警方大动作追人追款之际，调查局也没闲着。事情发生后，第一银行先将发生金额短少的41台ATM设备，陆续送到调查局的资安鉴识实验室进行检测，希望从中找到任何蛛丝马迹，回溯骇客可能的入侵路径。

一开始，这批ATM的数位鉴识过程并不顺利。分析了多台ATM，连一丁点可疑的恶意程式足迹都找不到，调查局鉴识团队没有放弃，全体成员不眠不休投入，终于在案发的第二天，找出三只可能的恶意程式，第三天就分析出程式功能，对外界说明这些恶意程式和一个批次档各自的用途。

进一步反组译恶意程式样本后，调查局资安鉴识团队猛然发现，为何先前多台受骇ATM中，一点都找不到任何迹证？主因就是这些恶意程式中，有一个用于删除的批次档cleanup.bat，会透过系统内建加密删除工具sdelete.exe，来移除藏在ATM内部的所有恶意程式和相关档案，做到来去不留痕迹，而调查局发现恶意程式的那一台ATM，其实是因为自毁程式执行失效才留下把柄。

调查局发现，一银伦敦分行是骇客入侵的端点之一

找出了恶意程式，确认ATM遭骇，但是这些恶意程式从哪来是下一个要解决的问题，再加上这些木马都不具备远端连线功能，无法透过骇客常用的C&C跳板服务器来遥控，骇客势必得远端手动操控才能执行。

调查局转而聚焦于清查一银内网的各种异常连线记录，终于找到了在7月9日时大量来自海外一银伦敦分行连线到台湾ATM的记录，发动大量连线的系统是伦敦分行的电话录音服务器。但是，一银这家伦敦分行没有ATM业务，不需连线回台湾ATM，不应出现任何连线记录，而对位于台湾的ATM设备，也不应该出现对外的异常连线。调查局因此而能推断，一银伦敦分行就是造成这次事件的骇客入侵端点之一，骇客入侵了这台服务器做为跳板，再进一步攻入总行的ATM。

调查局连夜请一银伦敦分行的主管赶回台湾，同时带回3颗硬盘，包括了遭骇服务器内的2颗硬盘，和遭入侵PC的硬盘。

不过，调查局调查工作还未结束，还有其他可能受骇的主机正在鉴识中，调查局资安科科长周台维一再强调，一银伦敦分行的受骇主机，只是可能受骇的主机之一，还有其他可能性，调查局不排除，除了一银伦敦分行之外，骇客还从其他可能的受骇主机端点入侵。

调查局目前虽然仍不愿意排除内鬼接应的可能性，但是从APT（进阶持续性威胁）攻击的角度分析，也有可能是透过鱼叉式钓鱼邮件（Spear Phishing）的方式，先入侵伦敦分行行员的个人电脑后，再借由内部横向移动的方式，进一步掌控伦敦分行内网主机以及电话录音系统。

ForceShield技术长林育民早在十年前就曾示范用ATM漏洞，远端控制Wincor牌ATM，成功遥控吐钞。他表示，ATM安全弱点可分为3大类，一是内鬼所为，如内部人员及维护厂商动手脚，其次是骇客直接从外部入侵，第三则是利用软硬件漏洞取得ATM的控制权限。

林育民认为，从目前调查局释出的资料看来，一银ATM盗领事件像是骇客直接从外部入侵造成的资安事件。

调查局新北市调查处在18日晚上10点，揭露了最新的数位鉴识结果，以及所拼凑出来的一银遭骇流程，我们汇整近2周所揭露的各项调查资讯，以及资安专家的看法，进一步画出了更详细的第一银行ATM盗领事件遭骇流程图，也向调查局再次查证，确认新的流程几乎和目前案情100％相似。

骇客集团6阶段入侵ATM

根据调查局所揭露的资料，可以将骇客入侵一银ATM的流程，分成6个阶段，包括了阶段1、从分行入侵内网。阶段2、建立内网潜伏基地。阶段3、暗中搜集入侵情报。阶段4、ATM入侵准备、阶段5、开启ATM远端控制、阶段6、植入ATM控制木马，发动盗领。

 第一银行ATM盗领事件遭骇流程示意图 

 阶段1  从分行入侵内网

虽然调查局仍不愿意排除内鬼接应的可能性，但根据数位鉴识结果，可推测骇客首先入侵的是个人电脑。从APT（进阶持续性威胁）攻击的角度来分析，骇客有可能透过鱼叉式钓鱼邮件的方式，骗取伦敦分行行员点选连结，下载木马软件，入侵其个人电脑后取得进入内网的能力。

 阶段2  建立内网潜伏基地

攻占一台内网PC之后，骇客就等于在内网埋了一颗棋子，下一步就是要建立一个具备管理者权限的内网潜伏基地，可提供对外连线能力和入侵台湾内网的跳板，根据资安专家分析，骇客取得一台内网PC的控制权后，很容易取得更多内网情报，甚至是管理者账号密码。

据了解，一银的海外分行都各自有专线连回台湾总行，从骇客可以如入无人之境的侵门踏户来看，至少确定，总行对于海外分行登入连线的部分，并没有进行相当严格的身份确认，加上有内网专线的帮忙，使得海外分行和总行系统，并没有实质且明显的分野。

调查局主管曾经私下透露，一银在保护客户资料的数据库系统，采取了非常严谨的防护措施，但是对于内部系统之间的使用，可能是基于“都是自己人”的心态，加上一般员工都不想要太麻烦的认证系统，这也使得海外分行和台湾总行连接的系统，往往只需要简单的账号、密码就可以顺利登入。

也因此，骇客控制了一台不起眼的录音系统服务器，进一步透过这台服务器建立潜伏基地，展开了进军台湾总行内网的行动。

 阶段3  暗中搜集入侵情报

因为录音系统也是一银内部系统之一，穿透防火墙的存取连线行为也是合法行为，不易遭监控软件发现。

后来发现储存在ATM系统的木马程式，是储存在C：\install以及C：\Documents and Setting\Administrator\两个目录中。

资安专家指出，如果透过软件派送的恶意程式，在上述两个资料夹中都有发现，就逻辑推论，派送的软件应该比取得管理员权限的程式，可能更早1～2个月，骇客就已经进入分行的内部系统中放置木马。

在这段期间，骇客不仅掌握了第一银行总行内网的网络拓朴，至少概略架构可以得知，另外也能发现，一银ATM更新方式，不是过去的实体光碟更新，而是透过一套软件派送服务器来更新ATM程式，骇客只要窃取了派送系统管理者帐密，再搜集到ATM的实体位置和IP的对应，就能明确攻击特定位置的任一台ATM，例如这次就是锁定北中22家分行的ATM。

 阶段4  ATM入侵准备

根据调查局追踪，骇客在7月4日透过ATM软件派送服务器，发送了一个可以开启ATM远端连线服务（Telnet Service）的DMS更新包，可将Telnet服务从手动模式转为自动开启模式。

 阶段5  开启ATM远端控制

收到这个更新包的ATM系统，自动按照例行系统更新程序执行，等到下一次系统重新开机后，ATM就会自动开启了远端连线服务，让骇客可以远端控制这台ATM。

根据调查局统计，除了41台成功遭骇的ATM，另有3台ATM也遭植入木马，但骇客没有成功控制ATM。可推测，可能是因这3台ATM还未重开机，因此没有套用骇客客制的更新包而躲过一劫。

 阶段6  植入ATM控制木马，发动盗领

过了几天，7月9日时，骇客再次从远端登入，开始将木马程式派送到ATM设备中，包括了控制ATM远端吐钞程式cngdisp.exe及cngdisp_new.exe，以及显示受骇ATM资讯的恶意程式cnginfo.exe。

另外还上传了一个批次档cleanup.bat，可用来执行微软内建加密删除工具sdelete.exe，销毁所有木马程式。

远端骇客先透过Telnet在ATM执行恶意程式cnginfo.exe开启吐钞口，负责取款的车手早在几天前就先入境台湾，在远端骇客指定的时间到特定ATM面前，来确认吐钞口是否开启，若成功开启表示该ATＭ已遭控制，车手就回报给远端骇客进行下一个动作。

远端骇客确认入侵成功后，开始执行远端执行cngdisp.exe或cngdisp_new.exe吐钞，每次吐钞60张。所以，从ATM监视影片上才看到，车手完全不用接触ATM或输入密码，就能取款。清空这台ATM的钞票后，车手再前往下一台ATM继续盗领。而远端骇客也会执行自动删除批次档cleanup.bat，用sdelete.exe删除所有入侵木马程式和Log记录档。

从银行治理上，第一银行一直是模范生，是非常早期就已经取得包括ISO 27001和ISO 20000双认证的单位，加上金管会对于银行向来是高度控管，而且一银在ATM上，也一直都还是采用SNA封闭网络架构的银行，也难怪，爆发ATM盗领事件时，震惊社会及金融圈。

资安专家表示，从目前外界可以获得的资讯来看，一银的ATM网络和内部办公网络并没有有效隔离，一银对ATM上启动哪些服务和操作系统日志都没有监控，这也会造成一银爆发如此重大ATM盗领事件时，无法有任何事先预警机制。

若进一步解析第一银行的IT治理，我们也可以发现盲点所在。

首先，不论是ISO 27001或者是ISO 20000，都是以资讯单位为认证范围的认证，加上，金融业长期认为，封闭网络系统的ATM是比较安全的，都使得一银缺乏足够的警觉性面对这样的盗领事件。

再者，一银的ATM设备虽都有安装防毒软件，但这次木马软件得经过调查局鉴识后，才确定为恶意程式，对防毒软件而言，很难事前分辨出这是恶意程式来拦截，只会判定为是一种具备特殊功能的执行档时。

白名单控管ATM存取更安全

不少资安专家建议，银行面对这类关键服务时，应该以白名单方式来控管，仅允许少数合法程式可以在ATM系统中执行，而非由防毒软件来判断应用程序的安全性。

第三，ATM装置上缺乏相关的预警系统，例如，ATM有异常金钱提领时，为什么没有任何警示；而当ATM的现钞与账务盘点有不符时，第一时间为何没有事先预警等等，也都是让这样的盗领事件，杀的让人措手不及的原因。

许多资安专家都呼吁，不论是一银或其他金融业者，主管机关要求的各种资安与IT管理认证，不应该只是为了认证而认证，不应该将所有经历都放在填ISO表单，全部纸本作业看起来安全，事实证明，就是有可能爆发让人异想不到的资安事件。

“技术性的检验落实，才是IT与资安认证的重点。”一位老牌资安专家语重心长地说。