cookieOptions = {...}; . ATM機「自動吐錢」:台灣首宗銀行跨境駭客盜領案究竟是如何發生的? - 3S Market「全球智慧科技應用」市場資訊網

3S MARKET

3S MARKET
2016年8月8日 星期一

leiphone FreeBuf


不僅僅是台灣首宗銀行遭跨境駭客盜領案,跨境駭客入侵各地的ATM,滲透超過100家銀行,至少有30個國家及地區受害,竊取的金額,大約已有3億美金,且迄今懸案未破。那麼,駭客究竟是如何攻擊的?本文試圖還原整個事件過程,作者系360追日團隊。

ATM机“自动吐钱”:台湾首宗银行跨境黑客盗领案究竟是如何发生的?

| 前言

2016年7月中,台灣第一銀行旗下20多家分行的41台ATM機遭遇駭客攻擊,被盜8327餘萬新台幣,目前該案已經破獲,抓獲犯罪嫌疑人並追回大部分被盜款項。360追日團隊對這起針對ATM機的駭客攻擊盜竊事件進行了分析,還原了整個事件的過程,分析了駭客攻擊手法和過程,並據此提供了安全建議。

|  事件過程

台灣第一金控旗下第一銀行(First Bank),該行於6月初推出無卡提款服務。(以下部分內容摘自我國媒體的公開報道)

2016年7月11日:

台灣警方接到市民報案,表示看到有人在操作ATM時,行為怪異,隨即ATM有不明吐鈔情況。

2016年7月12日:

第一銀行發佈公告《第一銀行ATM遭異常盜領客戶權益不受影響》表示「第一銀行部分分行ATM提款機遭異常盜領,作案過程約5~10分鐘,交易集中在7月9日和7月10日,目前本案共計遭盜取的金額約7000多萬新台幣,20家分行共34台ATM發生異常,目前已緊急報警處理。




初步瞭解可能遭植入惡意軟體驅動吐鈔模塊執行吐鈔,都是德利多富(Wincor)公司的同一機型(pro cash1500機型),目前該款機型已全面暫停服務。」德利多富(Wincor)的產品涉及銀行業及零售業,在銀行業包括現金類自助設備,和非現金類自助服務終端,及其解決方案,代表硬體產品如自動取款機、存取款一體機、多媒體服務終端、存摺列印機等;業務遍及130多個國家和地區。

而在這起台灣劫案中,被歹徒攻擊的ATM其實是老舊機型,在ebay拍賣網站上只要1475美元就能買到。

後經第一銀行清算覈實,全台共有41台ATM遭到盜領,被盜金額8327餘萬元。這是台灣首宗銀行遭跨境駭客盜領案。

2016年7月17日:

台灣警方通報稱,通過調取監控錄影等手段,鎖定該案16名嫌犯及1名關係人均來自境外,其中13人已離台,並於17日在宜蘭抓獲主犯拉脫維亞籍男子安德魯,當晚又在台北抓獲羅馬尼亞籍和摩爾多瓦籍共犯各一人,追回贓款6050萬元。



經查,這夥嫌犯自7月6日起,以觀光名義分批從土耳其、香港等地進入台灣,9日至11日分別到台北市、新北市、台中市等地,以1人至3人為一組,利用木馬程序入侵第一銀行ATM,然後通過通訊軟體遠端遙控ATM自動吐錢,其餘同夥則負責領錢、把風。犯案後,13名嫌犯迅速離台。

已追回的6050萬現鈔,被存放在台北車站,嫌犯通過「情報秘密傳遞點」(dead drop)的方式將部分現金以「行李箱寄放」的方式存放。17日晚間,警政署長陳國恩表示,跨境駭客入侵各地的ATM,滲透超過100家銀行,至少有30個國家及地區受害,竊取的金額,大約已有3億美金,且迄今懸案未破。

2016年7月18日:

台灣《聯合報》報道稱,調查局新北市調處安全人員查出有惡意程序通過一銀英國倫敦分行,侵入台灣總行。警方已約談第一銀行倫敦分行資訊主管、第一銀行台灣資訊部門負責人及ATM廠商總部代表等3人,為查清是否有內鬼參與盜領案。

在當晚10點召開的記者會上,新北市調查局指出,第一銀行的ATM機器程序更新,是由內部下發主機、服務器自動下發到各ATM。7月4日,入侵者仿冒更新軟體並下發至第一銀行各ATM,開啓ATM遠端控制服務(Telnet Service)。


直到7月9日入侵者再遠端登錄,上傳ATM操控程序後,執行測試吐鈔開關,經「錢騾」測試成功後,藏身在海外的幕後操控者,就開始大規模遠端遙控進行吐鈔,由各就各位的「錢騾」領取贓款。完成盜領後,遠程操控者再將隱藏控制程序、紀錄文檔、執行文檔全部清除。調查人員同時給出了第一銀行被攻擊的流程圖,具體如下:

ATM机“自动吐钱”:台湾首宗银行跨境黑客盗领案究竟是如何发生的?

辦案人員同時查出,對第一銀行ATM下達吐鈔指令的惡意程序,竟來自第一銀行英國倫敦分行電腦主機,和2個儲存電話錄音的硬碟,其中一個已經損毀。初步判斷,犯罪集團先駭入錄音硬碟,取得電腦主機的最高權限,接著在ATM硬碟內植入惡意程序,再派出外籍嫌犯入境我國盜領現金。調查人員懷疑,盜領集團很可能在倫敦還有其他共犯,也不排除是第一銀行內鬼所為的可能。

2016年7月20日:

台北市警方證實,已在內湖山區找到1263萬現金。安德魯14日晚上按照指示到達西湖公園,但他等了一天也無人來取款,因此就將這些現金藏在垃圾堆中。台北警方通過復原安德魯的行動軌跡,最終找到了這些現金。一名晨練老人在西湖公園附近停車場撿到裝有454萬1200元的電腦包,他將這些錢撿回家,晚間向警方報案。截止到21日,除去疑犯的生活開銷,仍有約586萬贓款下落不明。

事件分析

7月12日晚間,新北市有關調查部門公佈了本次攻擊第一銀行的惡意代碼相關訊息:文件名、MD5 和功能簡述。其中sdelete.exe程序是微軟提供的正常可信程序。

ATM机“自动吐钱”:台湾首宗银行跨境黑客盗领案究竟是如何发生的?

在對相關攻擊事件的分析中,360追日團隊發現攻擊者並沒有使用銀行卡和對ATM操作等,無需實體接觸ATM,則能實現ATM吐鈔達到取現的目的。這點攻擊現象引起了我們的注意,以往攻擊ATM的事件並不少見,但能達到不進行實體接觸而使得ATM吐鈔,是比較少見的,儘管多年前已有研究人員提出並驗證了這一理論。

2010年7月28日,Black Hat大會上,當時任職於IOActive的Barnaby Jack展示了他多年來對ATM機程式代碼的研究成果, 成功演示入侵安裝有兩種不同系統的ATM取款機,並當場讓ATM取款機吐出錢,他稱之為「jackpotting」。在現場,他用了兩種方法令ATM機吐鈔票,一種需要實體接觸ATM,而另一種則完全在遠端執行自動攻擊 。兩種方法均需要惡意軟體感染機器系統,用以執行攻擊者的虛假指令。具體方法如下:

— 物理接觸攻擊:攻擊者充分利用對目標機器的使用權,插入特製的U盤,然後利用惡意軟體控制網路並命令機器吐錢。

— 遠端攻擊:攻擊者利用遠端管理系統的漏洞,安裝惡意軟件,大多數情況下是利用遠端管理系統的默認管理員密碼、賬戶PIN碼和TCP端口。然後執行惡意軟體,ATM會吐出一定數額的現金。


這個現象使我們聯想到之前發現的Anunak(即Carbanak)攻擊組織,該組織在攻擊ATM時也可以達到同樣的效果,進一步我們通過分析Anunak(即Carbanak)和台灣第一銀行事件進行對比,發現二者之間有較多相似的地方,具體如下表所示:

ATM机“自动吐钱”:台湾首宗银行跨境黑客盗领案究竟是如何发生的?
關於Anunak(即Carbanak):

Anunak(即Carbanak)攻擊組織,是一個跨國網路犯罪團伙。2013年起,該犯罪團伙總計向全球約30個國家和地區的100家銀行、電子支付系統和其他金融機構發動了攻擊,目前相關攻擊活動還很活躍。在《2015年中國高級持續性威脅(APT)研究報告》中我們提到了Anunak,通過研究分析該組織相關攻擊手法和意圖,我們將該組織視為針對金融行業的犯罪型APT組織。

Anunak組織一般通過社會工程學、漏洞利用等方式攻擊金融機構員工的電腦,進而入侵銀行網路。進一步攻擊者通過內部網路,對計算機進行視頻監控,查看和記錄負責資金轉賬系統的銀行員工的螢幕。

通過這種方式,攻擊者可以瞭解到銀行職工工作的全部詳情,從而模仿銀行職工的行為,盜取資金和現金。

另外該組織還可以控制、操作銀行的ATM機,命令這些機器在指定的時間吐出現金。當到支付時間時,該組織會派人在ATM機旁邊等待,以取走機器「主動」吐出的現金。



針對ATM的威脅

  • 傳統威脅
這裡所述的傳統威脅,主要指不利用網路攻擊的情況。如下圖所示,針對ATM的傳統威脅主要分為這些方面。
ATM机“自动吐钱”:台湾首宗银行跨境黑客盗领案究竟是如何发生的?
1、卡複製是ATM安全的主要問題
通過卡複製裝置竊取卡號等訊息的ATM犯罪由來已久,在全球範圍內,每年由於卡複製造成的經濟損失達24億美元。犯罪份子常見的手段是在ATM機上安裝非法設備從而讀取磁條訊息。

2、軟體攻擊和外部破壞呈增加趨勢
針對ATM的軟體攻擊包括邏輯攻擊、黑盒子數據攻擊等。ATM普遍採用Windows開放平台,犯罪份子通過CD-ROM或USB,便可輕易將惡意軟體上傳至ATM中,從而離線控制出鈔命令,造成巨大的現金風險。

其他作案方式還包括,犯罪份子撬開ATM上的箱體櫃門,使用一台電子設備取代ATM的工控機,鏈接到ATM的現金出鈔模組,然後通過向現金出鈔模組發送非授權命令,控制ATM出鈔。Times of Frauds調查顯示,自2013年以來,在全球範圍內,針對ATM的邏輯攻擊案件正在快速上升和蔓延。根據NCR Secure Fraud Net的統計數據,在過去的幾年內,全球ATM案件中物理攻擊類型增加了429%

利用網路攻擊
1、惡意程序
在針對ATM的網路攻擊中,主要是利用惡意程序進行後續攻擊,其中如何植入惡意代碼是一個關鍵。首先可以通過入侵銀行內部網路,獲得ATM內部網路權限進一步安裝植入,另外就是直接通過對ATM本身進行操作,如從光驅、USB等入口進行攻擊。


相關惡意程序攻擊的目的基本,都是使ATM在攻擊者的控制下進行吐鈔,而有些惡意程序也具備收集銀行卡等數據訊息。
ATM机“自动吐钱”:台湾首宗银行跨境黑客盗领案究竟是如何发生的?

2、訊息竊取
一般是攻擊者通過直接攻擊銀行等金融機構本身,或者採用其他途徑來獲得持卡人的訊息(如:姓名、卡號、身份證號等)。在今年發生的南非標準銀行(Standard Bank)數據洩露導致日本1400台ATM遭盜提14.4億是一個典型案例。

來自媒體的報道顯示,2016年5月15日,有網路犯罪團伙南非標準銀行(Standard Bank)的洩露的數據製造偽信用卡,從日本1400台便利店ATM機處取現14.4億日元,由於這些便利店的安保措施不夠,而且這些ATM機可以接受國外信用卡,從而讓犯罪分子得逞。

警方披露的訊息顯示,駭客的行動明顯經過周密的安排,在5月15日清晨,分布在日本16個區縣的約100名嫌疑人,在兩小時內一共操作了14000次取現指令,涉及1600張信用卡,其中額度最高的一次取現操作達到913美元。

南非標準銀行已經表示,將承擔本次駭客行為所造成的全部資金損失,持卡人將不會被追繳還款費用,這次訊息洩露事件已為標準銀行帶來1925萬美元的損失,未來可能進一步增加。




3、攻擊的目標
從針對ATM的傳統威脅來看,基本目標都是針對持卡人,最終導致持卡人自己賬戶上的財產被竊取。在針對ATM的網路攻擊中,一般以訊息竊取的網路攻擊,最終目標還是為了攻擊持卡人本身,如通過相關訊息進行銀行卡複製導致金錢竊取。另一種則是針對銀行本身的攻擊,直接從ATM中盜取金錢,如本次台灣第一銀行事件、Anunak攻擊相關銀行事件。

我們也發現在針對金融行業的網路犯罪活動開始進化,進入一個全新的階段,惡意攻擊者從針對一般持卡人或普通用戶,逐漸轉向瞄準銀行等金融機構本身,目的是直接竊取銀行本身的財產。

針對銀行系統的其他威脅
在針對金融機構本身,尤其是銀行業的攻擊中,除了針對ATM,還會針對銀行SWIFT系統,2016年2月孟加拉國央行被駭客攻擊,導致8100萬美元被竊取的事件被曝光後,如越南先鋒銀行、厄瓜多爾銀行等,針對銀行SWIFT系統的其他網路攻擊事件逐一被公開。

在相關事件曝光後,我們從對相關攻擊事件的戰術層面,和技術層面的深入分析,我們認為近期曝光的這4起針對銀行的攻擊事件,並非獨立的,而很有可能是由一個組織或多個組織協同發動的不同攻擊行動。

另外Anunak組織的相關攻擊行動中,也有針對銀行SWIFT系統進行攻擊,但我們對其攻擊手法等分析,發現其幕後組織和攻擊孟加拉國央行應該不是一個組織。

關於SWIFT:
SWIFT全稱是Society for Worldwide Interbank Financial Telecommunication,中文名是「環球同業銀行金融電信協會」。1973年5月,由美國、加拿大和歐洲的—些大銀行,正式成立SWIFT組織,其總部設在比利時的布魯塞爾,它是為瞭解決各國金融通信不能適應國際間支付清算的快速增長,而設立的非盈利性組織,負責設計、建立和管理SWIFT國際網絡,以便在該組織成員間進行國際金融訊息的傳輸和確定路由。

總結
通過深入跟進、分析台灣第一銀行事件、孟加拉國央行等事件,我們發現針對金融行業的網路攻擊已經開始進化,攻擊者的目標不在限於普通終端用戶,而逐漸瞄準金融機構本身。




另外這幾次針對銀行等金融機構的攻擊幕後,或者其攻擊手法都是APT組織,或者利用了APT攻擊方法,這說明APT組織開始進行針對商業的攻擊,而且會使用APT方法來進行商業類攻擊。

從今年上半年的金融行業安全事件來看,銀行等金融相關行業本身暴露出諸多安全問題。隨著調查的不斷深入,台灣第一銀行遭受攻擊的流程已經逐漸清晰,但仍有諸多細節目前還未有公開解釋。

但無論是相關人員工作疏忽遭受駭客攻擊,或是有內部人協助攻擊者,攻擊者通過倫敦分行電話錄音主機,進而入侵在台的ATM機將惡意程序植入,下指令吐鈔,每一個環節都與金融安全密切相關。

台灣ATM盜領案雖已追回大部分贓款,並逮捕部分嫌犯,但是不容忽視的是,第一銀行的系統體系存在嚴重的安全問題。

關於ATM的一些安全建議:
1、升級操作系統
2、提供盡可能完備的物理保護並安裝監控
3、鎖定BIOS,防止來自未經授權媒介的啓動,如可引導光盤或U盤
4、重置ATM機所有的鎖和主密碼,棄用機器自帶的默認設置和密碼

5、確保保護ATM機的反病毒解決方案或軟體是最新的

                                                                                                                                                                                                                            


0 comments: