一銀倫敦分行5月遭駭 但查不出攻擊來源

出版時間:2016/09/13 15:38

檢調偵辦第一銀行ATM遭盜領案,過濾一銀網域防火牆紀錄,發現駭客早在今年5月底就已入侵竟自一銀倫敦分行攻擊,侵入台灣一銀ATM系統後植入惡意程式,遠端操控ATM自動吐鈔。抽絲剝繭後查出駭客為使用俄羅斯語人士,極可能來自俄國或摩爾多瓦等東歐國家,且順利入侵後竟直接在一銀內部系統內自創帳號,但究竟是直接在英國攻擊,或從其他國家跳板攻擊倫敦分行,現已不可考。不過調查人員透露,追查發現倫敦分行其實在5月底就被入侵,直至7月初遭盜領,間隔一個多月一銀方面都沒發現,「實在匪夷所思」。
 
盜領案爆發後,調查局局本部及新北市調查處的資安專業人員全力投入調查,先從被盜領的ATM硬碟逐一解析資料,在被駭的wincor「pro cash 1500」ATM機型硬碟內,揪出「cngdisp.exe」、「cngdisp_new.exe」、「cnginfo.exe」、「sdelete.exe」等惡意程式及指令檔「cleanup.bat」。
 
其中「cnginfo.exe」可顯示ATM內部系統與卡夾資訊等,並可開啟吐鈔夾。「cngdisp.exe」與「cngdisp_new.exe」用來使ATM吐鈔,帶入參數後可選擇吐鈔卡夾槽(slot)及吐鈔張數,執行程式後即可吐鈔,並將執行結果記錄在「displog.txt」中。指令檔「cleanup.bat」則是用來執行「sdelete.exe」刪除上述三個惡意程式,且會重複執行,確保徹底刪除。
 
經調查人員實際測試後,被植入的ATM真能順利吐鈔,確定被以此方式盜領鉅款,共有41台ATM遭盜領,損失8327萬7600元,另外有3台已執行惡意程式卻未順利吐鈔,還有2台則是車手已抵達卻未領錢就離去。
 
但調查人員苦思,駭客究竟透過何種方式,植入這些惡意程式?是否一銀真有內鬼,否則如何滲透電腦防護系統?直到清查一銀系統資料與防火牆紀錄檔時,案情總算出現一絲曙光。
 
調查人員發現,台灣一銀ATM主機竟有來自一銀英國倫敦分行電話錄音伺服器主機的異常連線紀錄,而這些企圖連往台灣主機的舉動,大都被防火牆檔下並留有紀錄。由於一銀倫敦分行並沒有ATM,不應出現這般連線紀錄,於是立即請一銀從倫敦分行,將2顆互為備援的電話錄音主機硬碟,以及1顆行員使用的個人電腦硬碟送回台灣鑑識。
 
調查確認,駭客透過網路入侵一銀倫敦分行電話錄音系統主機後,滲透進內網取得網路拓墣(含派送機制)。由於一銀是由內部派送主機提供更新程式,自動派送到各ATM後,讓ATM更新程式,駭客便在7月4日入侵一銀內部系統後,讓內部派送主機將仿冒的派送軟體,派送到各ATM,藉此打開ATM遠端控制服務(Telnet Service)。

直到9日至11日間,再遠端登入將惡意程式植入ATM硬碟內,操控惡意程式打開ATM吐鈔口,讓車手盜領鉅款後,駭客隨即用刪除程式刪掉所有惡意程式與紀錄檔、執行檔,並將遠端連線服務從自動改回手動,「關上」主機連線的大門,藉此滅跡。且惡意程式均被駭客存在ATM硬碟C槽,並設定執行日期為今年7月,在7月間均可遠端操控,但一過7月就失效。
 
調查人員清查時,又被一銀內部系統一個名稱看似雜亂無章的英文字母與數字帳號吸引目光。由於內部系統有所管制,多為系統管理員或員工、主管才有權限登入,這個像是英文亂碼的帳號甚至擁有最高權限,可自由瀏覽調閱ATM內部系統各項數據與資訊,因此更顯得突兀。

隨著取款車手影像與國籍逐一被警方查出,調查人員苦思後想到,用俄文鍵盤介面比對帳號名稱,竟對照出這串像亂打一通的英文字母帳號,其實就是一個俄文單字,且意思就是英語的「project」(專案),帳號全貌即為「project777」,密碼則是一個俄文網站,推測駭客應為俄國人或東歐方面使用俄羅斯語的人士。
 
不過調查人員懷疑,若從6月底入侵,怎能在短短2周內便可破解,因此遲遲不敢排除一銀有內鬼,但經傳訊一銀資訊人員、倫敦分行主管與ATM廠商等多人,均查無有內鬼支應的證據。調查人員隨後再繼續比對防火牆紀錄,才赫見駭客早在5月底就已入侵一銀倫敦分行主機,並在內網嘗試突破防護系統,直到6月底順利入侵,但長達一個多月的期間,一銀方面都沒發現異常,甚至有幹員驚嘆這情況「實在匪夷所思」。
 
調查人員因此推測,駭客應以惡意網站、釣魚郵件等「社交工程」方式,讓一銀倫敦分行人員中毒後,在5月底入侵一銀倫敦分行主機,藉此突破台灣一銀的內部系統,並在系統內自創一個帳號後,自行拉高帳號權限,以窺視系統內有關ATM的各項大小資訊,再透過遠端操控派送仿冒更新程式到指定的ATM,控制吐鈔後由車手取款。
 
但因系統遭惡意攻擊、異常連線的紀錄超過數十萬筆,已無法明確查出駭客究竟經由惡意郵件、病毒網址等何種管道入侵一銀倫敦分行主機,也成為這起驚天動地的盜領案中,一點不完美的遺憾。(游仁汶/新北報導)
 
【更多精彩新聞,請看《蘋果陪審團》粉絲團】





本新聞文字、照片、影片專供蘋果「升級壹會員」閱覽,版權所有,禁止任何媒體、社群網站、論壇,在紙本或網路部分引用、改寫、轉貼分享,違者必究。

下載「蘋果新聞網APP


有話要說 投稿「即時論壇」
更多

《社會》

新聞