編按:台灣「第一銀行」上週末發生自動提款機(ATM)盜領案件。34台疑似遭駭客入侵、操控的提款機共吐出7000萬台幣(約1668萬港幣/216萬美元)現金,歹徒裝袋後揚長而去。截至發稿為止,共有7家銀行宣布暫停使用共1162台由Wincor公司產製的同型提款機。此外,俄羅斯籍,現年34歲貝瑞左夫斯基及另一名俄籍人士被被台灣警方列為嫌犯,不過兩人已經在週一上午離境。
這起台灣金融史上最嚴重的ATM盜領案是怎麼回事?在沒有內賊的前提下,駭客為什麼可以進入理論上應該是封閉的ATM系統?端傳媒特約撰稿人「鍵盤福爾摩斯漢堡」撰文快速解析可能的案情。
未與時俱進的ATM主機作業系統
這次一銀被盜領的案件,我就化身「鍵盤福爾摩斯漢堡」來個「不負責調查」:
首先回到刑案現場,媒體報導歹徒「沒操作ATM就吐鈔」。它事實上就是歹徒能夠控制ATM在「特定時間」吐鈔。也就是當歹徒到了特定ATM之前,在完全不插卡和操作的情況下,就能下指令讓ATM做吐鈔的動作。達成的方法應該是透過網路下指令。換言之,ATM主機已經被植入惡意程式而且能夠控制吐鈔動作。
從媒體取得的監視器畫面可以看到歹徒到了ATM似乎會先撥打電話,估計這是通知「遠端的朋友」這一台ATM機器編號,讓同夥下達「吐鈔」指令。
這些ATM主機其實所使用的作業系統應該都是Windows XP。沒錯!!就是微軟不再更新維護的XP。Windows XP 應該不難駭進去,然後再開個遠端桌面(RDP),就能控制這台ATM主機了,接下來就是修改或是直接控制吐鈔程式(Cash-in-out-modules)。
至於為什麼駭客能夠進到ATM主機所在的網路環境,它不應該是個獨立網路,連不上Internet嗎?
理論是上如此,但是全台灣這麼多ATM,大家去提款的時候相信應該都會發現ATM有「廣告」畫面,這應該就是透過網際網路去更新的,我絕不相信銀行會一台一台進行更新。一銀自己在網路宣傳上也說,他們會做Wincor ATM的畫面更新。
希望一銀可以提供惡意程式樣本給其他銀行,讓所有銀行業者可以清查相關主機,如果也有惡意程式,那可就要小心再小心了。
所以,疏漏極可能就是這樣發生的:
第一銀行內部一定會有一台電腦(先稱它「A電腦」)可以連線到各ATM主機去更新廣告畫面。理論上,A電腦不應有任何機會或方式連上網際網路,同時任何可以連上網際網路的電腦都不應該能連上A電腦。但是做網管的人應該知道不太可能,為了管理方便,通常管理人員會利用防火牆設定,讓A電腦一方面可以連到ATM網路,同時又能上網際網路。這是為了工作「方便」而增加的安全性風險,但沒辦法,這就是「人性」。
接下來,一旦A電腦被植入木馬程式,那麼駭客就可以從外部連到A電腦,然後再透過A電腦去連ATM主機。所以,第一銀行可以查一下到底有哪幾個IP或電腦是可以連線到ATM網路環境?這些ATM主機的更新是由哪一台電腦來做?大概就可以分析駭客的路徑,我相信能夠連到ATM的網路環境又能連出去網際網路的電腦一定不多。
最難的應該就是駭客如何打入ATM所在的網路,而且還能夠由外部連線進去控制。就這一部分,我想駭客已經打入一銀內部網路很久了,可能利用E-mail等方式植入木馬,然後就慢慢的在裏面觀察、蒐集,也就是所謂APT攻擊,打入到核心以及能夠遠端下指令給ATM之後,他們就下手了。
那應該怎麼調查呢?我想應該從惡意程式着手,還有分析所有網路LOG,別以為清掉惡意程式就沒事了,人家是用APT,一定還埋了很多後門,而且可能管理者帳號密碼都被拿走了,記得清一下Domain Admin (網域管理員),我想這應該需要下蠻大的功夫。
那應該怎麼防範呢?想想看,為什麼只有一銀會吐鈔?全台灣使用Wincor ATM應該還有不少銀行,歹徒偏偏挑一銀?原因很可能就是一銀的網路安全有漏洞,所以讓駭客可以入侵、控制、吐鈔。最根本的方式就是讓ATM主機所在的網路完全隔離,要做什麼動作,都要實際到該網路環境裏的主機上操作,絕不能用所謂的「網路安全機制」讓可以連到網際網路的電腦也能連線到ATM的網路環境。此外,操作時更不要隨便插入USB,很容易感染木馬程式。
最後,希望一銀可以提供惡意程式樣本給其他銀行,讓所有銀行業者可以清查相關主機,如果也有惡意程式,那可就要小心再小心了。
進一步相關資訊,可以參考「FOX-IT」公司出版的「金融機構網路攻擊手法研究報告」。
編按:作者曾任政府部門資訊安全人員,現任職民間企業。