原标题:骇客以无档案恶意程式遥控俄银行ATM吐钞,损失80万美元
示意图,与新闻事件无关。
安全业者卡巴斯基周三公布,今年稍早两间俄罗斯银行遭骇客以无档案恶意程式攻击ATM,令ATM主动吐出大把钞票时趁势劫走,而且事后几乎完全找不到迹证。?The Hacker News 及Motherboard报导,这起离奇案件作案时间太快令人措手不及,唯一证据是3月20日一台监视器拍到一名神祕人士出现抱走 ATM吐出的钞票扬长而去,完全没有破坏任何机器。至少8台ATM被骇,银行方面损失高达80万美元。?接获受害银行委託调查的卡巴斯基研究人员指出,该团体的无档案攻击手法十分高明,以致于银行鉴识专家及研究唯一找得到证据只剩下ATM硬碟裏包含二个恶意程式log的档案,当中留有Take the Money Bitch!及Dispense Success的字串。不过研究人员就从以逐步追查出恶意程式及整个犯罪手法。卡巴斯基后来将之命名为ATMitch。?研究人员分析发现(下图,来源:卡巴斯基),骇客攻击手法分成二阶段。第一阶段是寻找有漏洞没修补的ATM网路管理伺服器,并以Windows 工具及Meterpreter、PowerShell script等攻击工具,在伺服器记忆体中植入恶意程式,并和外部C C伺服器建立连结,且暗中蒐集管理员密码。由于它并不存在硬碟中,因而不会被防毒软体侦测到,同时会随着系统重开机而消失。
?
在接下来的第二阶段中(下),骇客透过RDP与ATM建立连结,并在ATM中植入ATMitch。ATMitch会找寻读取骇客存在ATM硬碟中的command.txt档案。这些档案内含单一字母组成的指令,如O代表开启提款机(Open dispenser)、D代表发钞(Dispense)。
?随后骇客在远端等同伙出现在ATM前,即下达指令要求任何一台提款机吐出他想要的钞票张数。做案后骇客即远端删除ATM的恶意程式,使所有犯罪蹤迹消失不见。?卡巴斯基首席安全研究人员Sergey Golovanov指出,犯下本案的骇客在第一阶段使用开源攻击程式、常见的Windows工具 及不知名网域,以及无档案攻击手法,使得犯案元兇难以追查。不过从骇客使用的俄语来判断,以2014年利用APT手法犯下银行入侵案的CGMAN或Carbanak嫌疑最大。?这已非第一起ATM骇客攻击案。去年7月台湾的第一银行全台41 台ATM遭骇被窃走8000多万,随后泰国及欧洲也分别传出ATM抢劫案。
?
相关:
史上最高明行动间谍程式Pegasus从iOS跑到Android了!
示意图,与新闻事件无关。 网路安全业者Lookout及Google于本周揭露,被视为史上最高明的行动间谍程式Pegasus已从iOS平台被移植到Android平台了。Pegasus去年8月率先在iOS平台上被发现,它是由有网路军火商之称的以
图片来源: PwC PwC、BAE Systems与英国国家网路安全中心(NCSC)在本周公布了一份资安研究报告,指出恶名昭彰的中国骇客集团APT10正藉由IT代管服务供应商(Managed IT Service Providers,MSPs)入侵全球企业并窃取机
示意图,与新闻事件无关。 美国政府在本周一(4/3)开放雇主申请新一年度的H-1B签证,不过在上个周末,美国政府相继发表了H-1B签证政策备忘录、要求雇主以美国人力为优先,以及警告那些申请H-1B签证的雇主不得歧视
示意图,与新闻事件无关。 美国政府在本周一(4/3)开放雇主申请新一年度的H-1B签证,不过在上个周末,美国政府相继发表了H-1B签证政策备忘录、要求雇主以美国人力为优先,以及警告那些申请H-1B签证的雇主不得歧视
金融机构遭骇事件层出不穷,金融业无不绷紧神经,纷纷将资安列为首要营运重点,部分业者是委托顾问公司,部分业者则是延揽资安专家,共同目标就是强化资安。继一银部分自动柜员机遭到跨国犯罪集团盗领,及券商遭骇客