台灣

三分鐘告訴你:為什麼7000萬會從提款機如雪片般飛出來?

駭客可能已經打入內部網路許久,然後利用E-mail等方式植入木馬,接着慢慢在裏面觀察、蒐集,靜待下手那一天。


台灣「第一銀行」上周末發生自動提款機(ATM)盜領案件。
台灣「第一銀行」上周末發生自動提款機(ATM)盜領案件。攝:徐翌全/端傳媒

編按:台灣「第一銀行」上週末發生自動提款機(ATM)盜領案件。34台疑似遭駭客入侵、操控的提款機共吐出7000萬台幣(約1668萬港幣/216萬美元)現金,歹徒裝袋後揚長而去。截至發稿為止,共有7家銀行宣布暫停使用共1162台由Wincor公司產製的同型提款機。此外,俄羅斯籍,現年34歲貝瑞左夫斯基及另一名俄籍人士被被台灣警方列為嫌犯,不過兩人已經在週一上午離境。

這起台灣金融史上最嚴重的ATM盜領案是怎麼回事?在沒有內賊的前提下,駭客為什麼可以進入理論上應該是封閉的ATM系統?端傳媒特約撰稿人「鍵盤福爾摩斯漢堡」撰文快速解析可能的案情。

未與時俱進的ATM主機作業系統

這次一銀被盜領的案件,我就化身「鍵盤福爾摩斯漢堡」來個「不負責調查」:

首先回到刑案現場,媒體報導歹徒「沒操作ATM就吐鈔」。它事實上就是歹徒能夠控制ATM在「特定時間」吐鈔。也就是當歹徒到了特定ATM之前,在完全不插卡和操作的情況下,就能下指令讓ATM做吐鈔的動作。達成的方法應該是透過網路下指令。換言之,ATM主機已經被植入惡意程式而且能夠控制吐鈔動作。

從媒體取得的監視器畫面可以看到歹徒到了ATM似乎會先撥打電話,估計這是通知「遠端的朋友」這一台ATM機器編號,讓同夥下達「吐鈔」指令。

這些ATM主機其實所使用的作業系統應該都是Windows XP。沒錯!!就是微軟不再更新維護的XP。Windows XP 應該不難駭進去,然後再開個遠端桌面(RDP),就能控制這台ATM主機了,接下來就是修改或是直接控制吐鈔程式(Cash-in-out-modules)。

吐鈔程式畫面。
吐鈔程式畫面。作者提供

至於為什麼駭客能夠進到ATM主機所在的網路環境,它不應該是個獨立網路,連不上Internet嗎?

理論是上如此,但是全台灣這麼多ATM,大家去提款的時候相信應該都會發現ATM有「廣告」畫面,這應該就是透過網際網路去更新的,我絕不相信銀行會一台一台進行更新。一銀自己在網路宣傳上也說,他們會做Wincor ATM的畫面更新。

希望一銀可以提供惡意程式樣本給其他銀行,讓所有銀行業者可以清查相關主機,如果也有惡意程式,那可就要小心再小心了。

所以,疏漏極可能就是這樣發生的:

第一銀行內部一定會有一台電腦(先稱它「A電腦」)可以連線到各ATM主機去更新廣告畫面。理論上,A電腦不應有任何機會或方式連上網際網路,同時任何可以連上網際網路的電腦都不應該能連上A電腦。但是做網管的人應該知道不太可能,為了管理方便,通常管理人員會利用防火牆設定,讓A電腦一方面可以連到ATM網路,同時又能上網際網路。這是為了工作「方便」而增加的安全性風險,但沒辦法,這就是「人性」。

接下來,一旦A電腦被植入木馬程式,那麼駭客就可以從外部連到A電腦,然後再透過A電腦去連ATM主機。所以,第一銀行可以查一下到底有哪幾個IP或電腦是可以連線到ATM網路環境?這些ATM主機的更新是由哪一台電腦來做?大概就可以分析駭客的路徑,我相信能夠連到ATM的網路環境又能連出去網際網路的電腦一定不多。

最難的應該就是駭客如何打入ATM所在的網路,而且還能夠由外部連線進去控制。就這一部分,我想駭客已經打入一銀內部網路很久了,可能利用E-mail等方式植入木馬,然後就慢慢的在裏面觀察、蒐集,也就是所謂APT攻擊,打入到核心以及能夠遠端下指令給ATM之後,他們就下手了。

那應該怎麼調查呢?我想應該從惡意程式着手,還有分析所有網路LOG,別以為清掉惡意程式就沒事了,人家是用APT,一定還埋了很多後門,而且可能管理者帳號密碼都被拿走了,記得清一下Domain Admin (網域管理員),我想這應該需要下蠻大的功夫。

那應該怎麼防範呢?想想看,為什麼只有一銀會吐鈔?全台灣使用Wincor ATM應該還有不少銀行,歹徒偏偏挑一銀?原因很可能就是一銀的網路安全有漏洞,所以讓駭客可以入侵、控制、吐鈔。最根本的方式就是讓ATM主機所在的網路完全隔離,要做什麼動作,都要實際到該網路環境裏的主機上操作,絕不能用所謂的「網路安全機制」讓可以連到網際網路的電腦也能連線到ATM的網路環境。此外,操作時更不要隨便插入USB,很容易感染木馬程式。

最後,希望一銀可以提供惡意程式樣本給其他銀行,讓所有銀行業者可以清查相關主機,如果也有惡意程式,那可就要小心再小心了。

進一步相關資訊,可以參考「FOX-IT」公司出版的「金融機構網路攻擊手法研究報告」。

編按:作者曾任政府部門資訊安全人員,現任職民間企業。

第一銀行

第一銀行創立於1899年(明治32年)11月,當時定名為「臺灣貯蓄銀行」;1912年與「臺灣商工銀行」合併,仍沿用「臺灣商工銀行」名稱;1923年又合併「嘉義銀行」、「新高銀行」。1945年,中華民國接收台灣,將其收歸公有(省政府持股)。1947年改組更名為「臺灣工商銀行」,1949年再更名為「臺灣第一商業銀行」;嗣為加強業務國際化之經營策略,1976年改稱「第一商業銀行」,1998年1月22日由公營體制轉型為民營銀行,經營迄今已逾百年。

2017 年 7 月,端傳媒啟動了對深度內容付費的會員機制。在此之前刊發的深度原創報導,都會免費開放,歡迎轉發,也期待你付費支持我們

如果你喜歡,就分享給更多人吧