原标题:第一银行ATM遭盗领超过7千万元,疑为俄罗斯黑帮来台所为
第一银行在週末期间,发生在全台20间分行、34台Wincor厂牌的ATM设备,被至少两名俄罗斯人盗领超过7千万元,震惊台湾社会与金融圈。
图片来源:iThome
第一银行传出在週末期间,于全台20间分行、34台ATM(自动提款机),在没有提款卡的情况下,遭盗领超过七千万元,震撼台湾社会与金融圈。第一银行官方表示,在确保银行内部帐务系统没有被入侵的前提下,只有包括有权接触ATM的银行行员、负责补钞的保全人员以及ATM系统维护人员,有机会各别控制单一台的ATM。也就是说,如果第一银行的内部系统没有遭到入侵,只有上述三种角色,有机会接触ATM并盗领提款机现钞。
但是,多名资安研究员先后表示,一银的受骇方式与相关的攻击手法,很像俄罗斯黑帮集团,利用开源银行木马恶意程式Carberp加上某些功能后,成为客製化的恶意程式Anunak,专门攻击银行和支付系统并盗领金钱的手法。
由于俄罗斯犯罪集团已经利用相同手法,横行美国与欧洲银行,至少有50间俄罗斯银行受骇,而这个银行恶意程式可以同时控制52台ATM,并更改银行特定厂牌Wincor(德利多富)ATM吐钞的限制,也因此能破解台湾ATM一次提款,最多只能提领本行3万元、跨行2万元的限制。
虽然详细的内情还需要检警调单位进一步调查,但是,从同是俄罗斯人所为,同一ATM厂牌受骇,加上骇客可以同时控制多台ATM,并且有多名APT资安研究员同时引述这样的攻击手法,整起事件极有可能是俄罗斯黑帮集团,利用金融木马、盗领提款机内现钞的台湾版犯罪事件重现。
俄罗斯黑帮九大步骤盗领一银ATM,使用同一厂牌ATM
由于整起事件还由相关单位调查中,但是,这样的骇客攻击手法对于多位专研APT攻击的资安专家们,都具有相当熟悉的感觉。他们也直接引述由荷兰与俄罗斯资安研究公司Group-IB及Fox-IT两间公司联手在2014年发表的一份资安报告〈AnunAk:APT Against Financial Institutions〉,其中,俄罗斯黑帮就是锁定如同第一银行此次受骇的ATM厂牌Wincor,透过修改相关的ATM登录机码,就可以修改ATM提款机的吐钞数量的提款面额限制。
该份资安报告也将骇客入侵银行的手法,分成九大步骤进行。首先,骇客会透过寄送鱼叉式钓鱼信件,将恶意程式植入在一般银行行员所使用的电脑中;其次,骇客会伺机在银行内部系统作横向移动,目的就是要取得具有系统管理员行员的密码,例如某一些提供技术支援的工程师便是锁定的对象之一。
第三,取得其中任一台伺服器,合法存取伺服器的权限;第四,从伺服器中,取得网域管理员(Domain Administrator )的密码;第五,由于网域管理员具有修改网域设定,和新增、删除和修改所有网域帐号使用者的权限,当骇客获得该权限后,就可以控管所有网域帐户的使用者;第六,接着掌控银行使用者的邮件系统,不分是微软的Exchange邮件伺服器或是IBM的Lotus邮件系统,以及掌握工作签核流程系统的伺服器。
第七,获得存取伺服器及银行系统管理员工作站的权限;第八,植入可以监控维运系统的监控软体,观察使用者行为,也常使用录影与拍照的方式进行;最后则是,利用远端存取控管的权限,修改某些有兴趣系统的设定,包括防火墙的设定在内。
客製化恶意程式平均潜伏42天,至少50间俄罗斯银行受骇
该份报告显示,最早这种金融诈骗的手法是发生在2013年的俄罗斯境内,主要受骇对象是银行、电子支付业者、零售业、媒体以及公关公司等产业。这样金融诈骗发生在银行内部网路,往往都会使用银行内部的支付闸道器与内部银行系统,所以,骇客窃取的金钱是从银行的系统而来,并非窃取银行个别客户的资金。也有消息指出,这样的黑帮集团因为有利可图,也会用于产业的网路间谍和股票市场交易外,也会刺探政府相关的资讯。
这个俄罗斯黑帮主要来自于俄罗斯、乌克兰和白俄罗斯,从2013年起,每一起攻击事件至少获利200万美元,至少有50间俄罗斯银行、5个支付系统受骇,其中,还有2间金融体系因此丧失继续开门做生意的资格。
由于这个俄罗斯黑帮使用的恶意程式是一种低调潜伏的APT恶意程式,从入侵该金融单会的系统,到顺利偷钱,平均潜伏42天,这样的潜伏天数比以锁定国家政府的APT攻击潜伏天数更短,可以推论,因为这些俄罗斯黑帮只是为了要快速拿到钱,目的不在偷资料,便不需要长时间潜伏在企业的内部系统中。
因为ATM系统往往是独立的系统,俄罗斯黑帮要成功取得相关的控管权限,最好的方式就是透过寄送鱼叉式网路钓鱼信件(Spear Phishing),也因为会需要和发送垃圾邮件的傀儡网路业者保持合作关係。等到这样的黑帮取得电子邮件伺服器的控制权限后,就可以监控银行内部的沟通,不论是有发生哪些异常现象,或者是使用何种应对措施,其实都在这样俄罗斯黑帮的控制中。
第一起成功偷钱的金融诈欺事件发生在2013年,骇客为了要能远端存取银行的内部系统,使用可以远端遥控的RDPDoor木马程式,和可以消除追蹤迹证并瘫痪微软作业系统的MBR Eraser恶意程式;当时,骇客为了要降低远端存取银行内部系统的风险,也会使用合法的远端登入的应用程式,例如Ammy Admin及Team Viewer。
直到2014年,这个俄罗斯黑帮也发展出完整的金融诈欺恶意程式Anunak,除了整合原本已经开源的银行木马程式Carberp,也将一些常见应用程式整合在这个恶意程式的套件中,包括:可以撷取本地端与网域端使用者帐号密码的工具Mimikatz;瘫痪作业系统的MBr Eraser;可以扫描网段和内网的SoftPerfect Network scanner;取得密码的Cain Abel;取得密码并可以远端遥控的SSHD后门程式;以及可以远端遥控的Ammy Admin及Team Viewer两个应用程式功能在内。
勤业众信建议金融业的事前预防和事后应变方针
由于台湾还是法治社会,虽然有完整的资安报告可以推论,一银可能是遭到该俄罗斯黑帮的锁定,但包括个别ATM设备植入恶意程式驱动吐钞模组的恶意程式特徵与攻击方式,以及是否是国际盗领集团所为,勤业众信企业风险管理副总经理温绍群认为,这一切仍有待检警调最后公布的调查结果才能确定;至于其他的金融业者,则为了降低可能的风险,纷纷将受骇的ATM型号(WINCOR 1500XE)暂停使用并进行全面检测。
温绍群表示,在相关事件发生原因并不明朗的情况下,勤业众信建议应该从事前预防及事后应变等两个面相着手。
在事前预防方面,他提供5点建议,首先,金融业者除了要全面盘点ATM同型号设备,评估风险后,可考量将该款机型全面暂停服务,若无法全面暂停服务,建议非营业时段是否考量少放点钞票;其次,建议此ATM同型号设备,有关程式执行之权限控制,以白名单方式进行控管;第三,针对此ATM同型号的设备进行恶意程式检测作业(如系统异常行为检测);第四,确认近期是否有ATM设备换版、中央派送及到场软硬体维修保养纪录;最后,需另行盘点负责维运此ATM同型号设备的委外厂商人员。
至于事后应变,主要是指当ATM设备有发生异常情况时的因应策略,温绍群也有3点建议,包括:依据数位鉴识程序针对被盗ATM的硬体进行记忆体撷取及硬碟证据保全作业;确认系统所执行程序(Process)及服务/排程/Autorun等主机行为资讯;和检查应用程式与前几代版本之内容差异。?
勤业众信企业风险营运长万幼筠表示,在欧洲频频发生这类的金融诈欺事件,很多是来自于罗马尼亚骇客团体的攻击;目前台湾虽然还不清楚事件发生的真正原因,但企业如何正本清源,落实相关的资安稽核与应变措施,才是确保企业资安非常重要的关键。
由于这类的科技犯罪要侦办,政府体制内的人力并不足,所以会出现市调处对媒体公布,发现植入一银ATM的两只恶意程式「cngdisp.exe」、「cngdisp_new.exe」,但对资安专家在实务上,只有两个档名一点帮助都没有,如果相关单位可以提供恶意程式的MD5,可以做比对外,若能在公布YARA(恶意程式特徵规则)或者是IOC(Indicator of Compromise)规则,才比较有机会获得民间资安专家的协助。
相关:
台ATM机遭植软件(图)盗领金额超过7000万元 [热事件]
第一金控旗下第一银行部分自动柜员机遭到有心人士植入恶意软件,盗领超过新台币7000万元。据台湾中央社报道,自动柜员机(ATM)惊爆安全漏洞,台湾第一金控旗下第一银行部分自动柜员机遭到有心人士植入恶意软件,盗领超
第一银行惊传ATM遭植入恶意程式,盗领超过新台币7000万元,金融监督管理委员会提出 5点说明,要求银行公会1个月內强化ATM安控基准。金管会银行局局长詹庭祯表示,不分公、民营银行,共21家银行、4999台ATM与一银是相
凤凰娱乐讯 作为圈内闻名的好老婆,谢娜无论走到哪里总是三句不离张杰,炫夫狂魔的雅号非她莫属。而此番做客某网络综艺节目,谢娜却颠覆了贤内助形象,自曝不仅曾弄丢过张杰的银行卡,还遗失了老公送自己的天价项链
第一银行上周末发生ATM盗领案,在短短两天内20家分行共34部ATM被盗领7000余万元,因被盗领的ATM均是德国厂商德利多富(Wincor)的机型,一银认为可能是该款ATM遭植入恶意程式驱动吐钞模组,已停用约400多台ATM服务,由
家有过敏儿,中医三伏贴调理体质正是时候!中医生表示,过敏性鼻炎与气喘是现今儿童常见的过敏疾病,近年国內研究显示,三伏贴疗法对于儿童过敏症状,特别是鼻过敏症状儿童显著改善高达76%,但接受治疗以6岁以上为宜