三分钟告诉你:为什么7000万会从提款机如雪片般飞出来?

骇客可能已经打入内部网路许久,然后利用E-mail等方式植入木马,接着慢慢在里面观察、搜集,静待下手那一天。
台湾「第一银行」上周末发生自动提款机(ATM)盗领案件。
台湾

编按:台湾“第一银行”上周末发生自动提款机(ATM)盗领案件。34台疑似遭骇客入侵、操控的提款机共吐出7000万台币(约1668万港币/216万美元)现金,歹徒装袋后扬长而去。截至发稿为止,共有7家银行宣布暂停使用共1162台由Wincor公司产制的同型提款机。此外,俄罗斯籍,现年34岁贝瑞左夫斯基及另一名俄籍人士被被台湾警方列为嫌犯,不过两人已经在周一上午离境。

这起台湾金融史上最严重的ATM盗领案是怎么回事?在没有内贼的前提下,骇客为什么可以进入理论上应该是封闭的ATM系统?端传媒特约撰稿人“键盘福尔摩斯汉堡”撰文快速解析可能的案情。

未与时俱进的ATM主机作业系统

这次一银被盗领的案件,我就化身“键盘福尔摩斯汉堡”来个“不负责调查”:

首先回到刑案现场,媒体报导歹徒“没操作ATM就吐钞”。它事实上就是歹徒能够控制ATM在“特定时间”吐钞。也就是当歹徒到了特定ATM之前,在完全不插卡和操作的情况下,就能下指令让ATM做吐钞的动作。达成的方法应该是透过网路下指令。换言之,ATM主机已经被植入恶意程式而且能够控制吐钞动作。

从媒体取得的监视器画面可以看到歹徒到了ATM似乎会先拨打电话,估计这是通知“远端的朋友”这一台ATM机器编号,让同伙下达“吐钞”指令。

这些ATM主机其实所使用的作业系统应该都是Windows XP。没错!!就是微软不再更新维护的XP。Windows XP 应该不难骇进去,然后再开个远端桌面(RDP),就能控制这台ATM主机了,接下来就是修改或是直接控制吐钞程式(Cash-in-out-modules)。

吐钞程式画面。
吐钞程式画面。

至于为什么骇客能够进到ATM主机所在的网路环境,它不应该是个独立网路,连不上Internet吗?

理论是上如此,但是全台湾这么多ATM,大家去提款的时候相信应该都会发现ATM有“广告”画面,这应该就是透过网际网路去更新的,我绝不相信银行会一台一台进行更新。一银自己在网路宣传上也说,他们会做Wincor ATM的画面更新。

希望一银可以提供恶意程式样本给其他银行,让所有银行业者可以清查相关主机,如果也有恶意程式,那可就要小心再小心了。

所以,疏漏极可能就是这样发生的:

第一银行内部一定会有一台电脑(先称它“A电脑”)可以连线到各ATM主机去更新广告画面。理论上,A电脑不应有任何机会或方式连上网际网路,同时任何可以连上网际网路的电脑都不应该能连上A电脑。但是做网管的人应该知道不太可能,为了管理方便,通常管理人员会利用防火墙设定,让A电脑一方面可以连到ATM网路,同时又能上网际网路。这是为了工作“方便”而增加的安全性风险,但没办法,这就是“人性”。

接下来,一旦A电脑被植入木马程式,那么骇客就可以从外部连到A电脑,然后再透过A电脑去连ATM主机。所以,第一银行可以查一下到底有哪几个IP或电脑是可以连线到ATM网路环境?这些ATM主机的更新是由哪一台电脑来做?大概就可以分析骇客的路径,我相信能够连到ATM的网路环境又能连出去网际网路的电脑一定不多。

最难的应该就是骇客如何打入ATM所在的网路,而且还能够由外部连线进去控制。就这一部分,我想骇客已经打入一银内部网路很久了,可能利用E-mail等方式植入木马,然后就慢慢的在里面观察、搜集,也就是所谓APT攻击,打入到核心以及能够远端下指令给ATM之后,他们就下手了。

那应该怎么调查呢?我想应该从恶意程式着手,还有分析所有网路LOG,别以为清掉恶意程式就没事了,人家是用APT,一定还埋了很多后门,而且可能管理者帐号密码都被拿走了,记得清一下Domain Admin (网域管理员),我想这应该需要下蛮大的功夫。

那应该怎么防范呢?想想看,为什么只有一银会吐钞?全台湾使用Wincor ATM应该还有不少银行,歹徒偏偏挑一银?原因很可能就是一银的网路安全有漏洞,所以让骇客可以入侵、控制、吐钞。最根本的方式就是让ATM主机所在的网路完全隔离,要做什么动作,都要实际到该网路环境里的主机上操作,绝不能用所谓的“网路安全机制”让可以连到网际网路的电脑也能连线到ATM的网路环境。此外,操作时更不要随便插入USB,很容易感染木马程式。

最后,希望一银可以提供恶意程式样本给其他银行,让所有银行业者可以清查相关主机,如果也有恶意程式,那可就要小心再小心了。

进一步相关资讯,可以参考“FOX-IT”公司出版的“金融机构网路攻击手法研究报告”。

编按:作者曾任政府部门资讯安全人员,现任职民间企业。

第一银行

第一银行创立于1899年(明治32年)11月,当时定名为“台湾贮蓄银行”;1912年与“台湾商工银行”合并,仍沿用“台湾商工银行”名称;1923年又合并“嘉义银行”、“新高银行”。1945年,中华民国接收台湾,将其收归公有(省政府持股)。1947年改组更名为“台湾工商银行”,1949年再更名为“台湾第一商业银行”;嗣为加强业务国际化之经营策略,1976年改称“第一商业银行”,1998年1月22日由公营体制转型为民营银行,经营迄今已逾百年。
编辑推荐

读者评论 0

会员专属评论功能升级中,稍后上线。加入会员可阅读全站内容,享受更多会员福利。
目前没有评论