http://www.ithome.com.tw/news/107294
遥控台北、台中22家第一银行分行内41台ATM的操作指令,
竟来自远在1万公里外的英国,
一台第一银行伦敦分行内锁在铁柜中的电话录音服务器主机,
成了骇客远端遥控ATM大吐钞的跳板。
根据调查局目前揭露的资料,可以将骇客入侵一银ATM的流程,分成6个阶段
文/黄彦棻 | 2016-07-25发表
7月10日凌晨5点半,一名头戴黑白帽和大口罩的男子,
走近台北四平街市场附近的一银吉林分行ATM提款机,
一把一把地,接连从提款机吐钞口,拿出一叠叠厚钞,
不需提款卡,没输入任何密码,甚至不用接触ATM就能领钱,
仿佛像电影情节一般,ATM成了一台源源不绝地任意吐钞的机器。
不只这家分行,7月第二个周末凌晨,
第一银行台北和台中市合计有22家分行共41台ATM都遭人清空,
累计遭盗走了8,327万7,600元。
也因为发生如此重大且震惊全台社会和金融圈的案件,
包括警察单位和调查局等,都用尽全力、几乎是不眠不休地进行搜查,
彼此扮演不同分工合作的角色,警方负责查缉从涉案车手到洗钱的犯罪份子,
调查局资安鉴识实验室则解析相关犯罪手法,
找到远端遥控的恶意程式以及可能的入侵路径等。
双方分进合击,试图拼凑这起台湾史上,
第一次没有提款卡也能盗领大量现金的犯罪案件全貌。
事情发生在台风假的隔天,全台还在关心台铁松山火车站爆炸事件的后续发展时,
在10、11日清晨,来自于包括俄罗斯的十多名负责领钱的车手们,
分别于第一银行台中和台北等22间分行、41台ATM自动提款机,
总共从ATM盗领8,327万元。
在周一消息曝光后不久警方也公布了可疑嫌犯照片,发布通缉公告。
透过绵密的监控设备,逮到洗钱的嫌犯并追回赃款
警方案发不久就能锁定可疑嫌犯,正是因为台湾有一套绵密的监控视讯系统。
首先,警方在不同的监控摄影机中,发现了同一台汽车,列为高度可疑的犯案车辆,
再透过车牌辨识系统,快速找到这台汽车来自租车公司,
从中进一步调查租车的外籍车手行踪。
尔后,透过车手的通联记录,找到更多相互联系的同伙,
才能够陆续查出在这起ATM盗领事件中,究竟还有哪些共犯,
最后发现至少多达16、17人犯案。
但也因此发现,领款车手角色的嫌犯,都已在案发第三天就先后出境了。
原先以为车手出境,这起盗领事件可能就这样无疾而终,不过,
或许就是因为俄罗斯黑帮之间的分工角色相对精密,
彼此只扮演整起事件中的部分环节,即便车手出境,
却有负责洗钱、处理赃款的角色,跟着入境,接手后续洗钱处理的事件,
台湾警方才有机会循线追人、逮人,更顺便追回大部分的赃款。
不到10天,警方在7月18日逮捕3名在台湾的外籍洗钱嫌犯后,
找回6,024万元,警政署长陈国恩宣布破案,
2天后更在台北市内湖区的西湖公园草丛中,陆续找到其余一千多万元,
仅剩数百万元未寻获。
不过,虽然捉到洗钱嫌犯,也顺利找回大部分遭盗款项,但是,
俄罗斯黑帮究竟是如何远端遥控ATM盗领大笔金额?
所谓的一银伦敦分行是否就真的是骇客入侵的端点?
为什么应该控管严谨的银行内网,骇客有办法入侵并且植入恶意程式?
所谓的ATM封闭网络,就真的安全吗?
台湾银行业者的资安防护,真的已经濒临溃堤的边缘吗?
除了一银之外,是不是还有其他银行业者遭骇客锁定,恐成为下一个被入侵的肉票呢?
第一个遭逮捕的拉脱维亚籍洗钱嫌犯安德鲁被移送时,
面对大量警方和媒体询问下,曾经幽幽地说出:
“你们只是担心那些被抢的钱。”
更让人觉得这起犯罪事件背后可能并不单纯,
如果无法找出俄罗斯黑帮如何渗透到一银内部网络,
如何在ATM植入恶意程式,这起犯罪案件还不算真正地破案。
恶意程式具备自毁匿踪能力,事后追查难度高
在警方大动作追人追款之际,调查局也没闲著。
事情发生后,第一银行先将发生金额短少的41台ATM设备,
陆续送到调查局的资安鉴识实验室进行检测,希望从中找到任何蛛丝马迹,
回溯骇客可能的入侵路径。
一开始,这批ATM的数位鉴识过程并不顺利。
分析了多台ATM,连一丁点可疑的恶意程式足迹都找不到,
调查局鉴识团队没有放弃,全体成员不眠不休投入,终于在案发的第二天,
找出三只可能的恶意程式,第三天就分析出程式功能,
对外界说明这些恶意程式和一个批次档各自的用途。
进一步反组译恶意程式样本后,调查局资安鉴识团队猛然发现,
为何先前多台受骇ATM中,一点都找不到任何迹证?
主因就是这些恶意程式中,有一个用于删除的批次档 cleanup.bat,
会透过系统内建加密删除工具 sdelete.exe,
来移除藏在ATM内部的所有恶意程式和相关档案,
做到来去不留痕迹,而调查局发现恶意程式的那一台ATM,
其实是因为自毁程式执行失效才留下把柄。
调查局发现,一银伦敦分行是骇客入侵的端点之一
找出了恶意程式,确认ATM遭骇,但是这些恶意程式从哪来是下一个要解决的问题,
再加上这些木马都不具备远端连线功能,无法透过骇客常用的C&C跳板服务器来遥控,
骇客势必得远端手动操控才能执行。
调查局转而聚焦于清查一银内网的各种异常连线记录,
终于找到了在7月9日时大量来自海外一银伦敦分行连线到台湾ATM的记录,
发动大量连线的系统是伦敦分行的电话录音服务器。
但是,一银这家伦敦分行没有ATM业务,不需连线回台湾ATM,
不应出现任何连线记录,而对位于台湾的ATM设备,也不应该出现对外的异常连线。
调查局因此而能推断,一银伦敦分行就是造成这次事件的骇客入侵端点之一,
骇客入侵了这台服务器做为跳板,再进一步攻入总行的ATM。
调查局连夜请一银伦敦分行的主管赶回台湾,同时带回3颗硬盘,
包括了遭骇服务器内的2颗硬盘,和遭入侵PC的硬盘。
不过,调查局调查工作还未结束,还有其他可能受骇的主机正在鉴识中,
调查局资安科科长周台维一再强调,一银伦敦分行的受骇主机,
只是可能受骇的主机之一,还有其他可能性,调查局不排除,除了一银伦敦分行之外,
骇客还从其他可能的受骇主机端点入侵。
调查局目前虽然仍不愿意排除内鬼接应的可能性,
但是从APT(进阶持续性威胁)攻击的角度分析,
也有可能是透过鱼叉式钓鱼邮件(Spear Phishing)的方式,
先入侵伦敦分行行员的个人电脑后,再借由内部横向移动的方式,
进一步掌控伦敦分行内网主机以及电话录音系统。
ForceShield技术长林育民早在十年前就曾示范用ATM漏洞,
远端控制Wincor牌ATM,成功遥控吐钞。
他表示,ATM安全弱点可分为3大类,
一是内鬼所为,如内部人员及维护厂商动手脚,
其次是骇客直接从外部入侵,
第三则是利用软硬件漏洞取得ATM的控制权限。
林育民认为,从目前调查局释出的资料看来,
一银ATM盗领事件像是骇客直接从外部入侵造成的资安事件。
调查局新北市调查处在18日晚上10点,揭露了最新的数位鉴识结果,
以及所拼凑出来的一银遭骇流程,我们汇整近2周所揭露的各项调查资讯,
以及资安专家的看法,进一步画出了更详细的第一银行ATM盗领事件遭骇流程图,
也向调查局再次查证,确认新的流程几乎和目前案情100%相似。
骇客集团6阶段入侵ATM
根据调查局所揭露的资料,可以将骇客入侵一银ATM的流程,分成6个阶段,
包括了阶段1、从分行入侵内网。
阶段2、建立内网潜伏基地。
阶段3、暗中蒐集入侵情报。
阶段4、ATM入侵准备、
阶段5、开启ATM远端控制、
阶段6、植入ATM控制木马,发动盗领。
第一银行ATM盗领事件遭骇流程示意图
http://imgur.com/a/IsdJs
阶段1 从分行入侵内网
虽然调查局仍不愿意排除内鬼接应的可能性,但根据数位鉴识结果,
可推测骇客首先入侵的是个人电脑。
从APT(进阶持续性威胁)攻击的角度来分析,骇客有可能透过鱼叉式钓鱼邮件的方式,
骗取伦敦分行行员点选连结,下载木马软件,入侵其个人电脑后取得进入内网的能力。
阶段2 建立内网潜伏基地
攻占一台内网PC之后,骇客就等于在内网埋了一颗棋子,
下一步就是要建立一个具备管理者权限的内网潜伏基地,
可提供对外连线能力和入侵台湾内网的跳板,根据资安专家分析,
骇客取得一台内网PC的控制权后,很容易取得更多内网情报,甚至是管理者帐号密码。
据了解,一银的海外分行都各自有专线连回台湾总行,
从骇客可以如入无人之境的侵门踏户来看,至少确定,
总行对于海外分行登入连线的部分,并没有进行相当严格的身分确认,
加上有内网专线的帮忙,使得海外分行和总行系统,并没有实质且明显的分野。
调查局主管曾经私下透露,一银在保护客户资料的数据库系统,
采取了非常严谨的防护措施,但是对于内部系统之间的使用,
可能是基于“都是自己人”的心态,加上一般员工都不想要太麻烦的认证系统,
这也使得海外分行和台湾总行连接的系统,
往往只需要简单的帐号、密码就可以顺利登入。
也因此,骇客控制了一台不起眼的录音系统服务器,
进一步透过这台服务器建立潜伏基地,展开了进军台湾总行内网的行动。
阶段3 暗中蒐集入侵情报
因为录音系统也是一银内部系统之一,穿透防火墙的存取连线行为也是合法行为,
不易遭监控软件发现。
后来发现储存在ATM系统的木马程式,
是储存在C:\install
以及C:\Documents and Setting\Administrator\两个目录中。
资安专家指出,如果透过软件派送的恶意程式,在上述两个资料夹中都有发现,
就逻辑推论,派送的软件应该比取得管理员权限的程式,可能更早1~2个月,
骇客就已经进入分行的内部系统中放置木马。
在这段期间,骇客不仅掌握了第一银行总行内网的网络拓朴,至少概略架构可以得知,
另外也能发现,一银ATM更新方式,不是过去的实体光盘更新,
而是透过一套软件派送服务器来更新ATM程式,骇客只要窃取了派送系统管理者帐密,
再蒐集到ATM的实体位置和IP的对应,就能明确攻击特定位置的任一台ATM,
例如这次就是锁定北中22家分行的ATM。
阶段4 ATM入侵准备
根据调查局追踪,骇客在7月4日透过ATM软件派送服务器,
发送了一个可以开启ATM远端连线服务(Telnet Service)的DMS更新包,
可将Telnet服务从手动模式转为自动开启模式。
阶段5 开启ATM远端控制
收到这个更新包的ATM系统,自动按照例行系统更新程序执行,
等到下一次系统重新开机后,ATM就会自动开启了远端连线服务,
让骇客可以远端控制这台ATM。
根据调查局统计,除了41台成功遭骇的ATM,另有3台ATM也遭植入木马,
但骇客没有成功控制ATM。
可推测,可能是因这3台ATM还未重开机,因此没有套用骇客客制的更新包而躲过一劫。
阶段6 植入ATM控制木马,发动盗领
过了几天,7月9日时,骇客再次从远端登入,开始将木马程式派送到ATM设备中,
包括了控制ATM远端吐钞程式cngdisp.exe及cngdisp_new.exe,
以及显示受骇ATM资讯的恶意程式cnginfo.exe。
另外还上传了一个批次档cleanup.bat,
可用来执行微软内建加密删除工具sdelete.exe,销毁所有木马程式。
远端骇客先透过Telnet在ATM执行恶意程式cnginfo.exe开启吐钞口,
负责取款的车手早在几天前就先入境台湾,在远端骇客指定的时间到特定ATM面前,
来确认吐钞口是否开启,若成功开启表示该ATM已遭控制,
车手就回报给远端骇客进行下一个动作。
远端骇客确认入侵成功后,开始执行远端执行cngdisp.exe或cngdisp_new.exe吐钞,
每次吐钞60张。
所以,从ATM监视影片上才看到,车手完全不用接触ATM或输入密码,就能取款。
清空这台ATM的钞票后,车手再前往下一台ATM继续盗领。
而远端骇客也会执行自动删除批次档cleanup.bat,
用sdelete.exe删除所有入侵木马程式和Log记录档。
从银行治理上,第一银行一直是模范生,
是非常早期就已经取得包括ISO 27001和ISO 20000双认证的单位,
加上金管会对于银行向来是高度控管,而且一银在ATM上,
也一直都还是采用SNA封闭网络架构的银行,
也难怪,爆发ATM盗领事件时,震惊社会及金融圈。
资安专家表示,从目前外界可以获得的资讯来看,
一银的ATM网络和内部办公网络并没有有效隔离,
一银对ATM上启动哪些服务和作业系统日志都没有监控,
这也会造成一银爆发如此重大ATM盗领事件时,无法有任何事先预警机制。
若进一步解析第一银行的IT治理,我们也可以发现盲点所在。
首先,不论是ISO 27001或者是ISO 20000,都是以资讯单位为认证范围的认证,
加上,金融业长期认为,封闭网络系统的ATM是比较安全的,
都使得一银缺乏足够的警觉性面对这样的盗领事件。
再者,一银的ATM设备虽都有安装防毒软件,但这次木马软件得经过调查局鉴识后,
才确定为恶意程式,对防毒软件而言,很难事前分辨出这是恶意程式来拦截,
只会判定为是一种具备特殊功能的执行档时。
白名单控管ATM存取更安全
不少资安专家建议,银行面对这类关键服务时,应该以白名单方式来控管,
仅允许少数合法程式可以在ATM系统中执行,而非由防毒软件来判断应用程式的安全性。
第三,ATM装置上缺乏相关的预警系统,例如,ATM有异常金钱提领时,
为什么没有任何警示;
而当ATM的现钞与帐务盘点有不符时,第一时间为何没有事先预警等等,
也都是让这样的盗领事件,杀的让人措手不及的原因。
许多资安专家都呼吁,不论是一银或其他金融业者,
主管机关要求的各种资安与IT管理认证,不应该只是为了认证而认证,
不应该将所有经历都放在填ISO表单,全部纸本作业看起来安全,
事实证明,就是有可能爆发让人异想不到的资安事件。
“技术性的检验落实,才是IT与资安认证的重点。”
一位老牌资安专家语重心长地说。