第一銀行傳出在週末期間,於全臺20間分行、38臺ATM(自動提款機),在沒有提款卡的情況下,遭盜領超過八千萬元,震撼臺灣社會與金融圈。第一銀行官方表示,在確保銀行內部帳務系統沒有被入侵的前提下,只有包括有權接觸ATM的銀行行員、負責補鈔的保全人員以及ATM系統維護人員,有機會各別控制單一臺的ATM。也就是說,如果第一銀行的內部系統沒有遭到入侵,只有上述三種角色,有機會接觸ATM並盜領提款機現鈔。
但是,多名資安研究員先後表示,一銀的受駭方式與相關的攻擊手法,很像俄羅斯黑幫集團,利用開源銀行木馬惡意程式Carberp加上某些功能後,成為客製化的惡意程式Anunak,專門攻擊銀行和支付系統並盜領金錢的手法。
由於俄羅斯犯罪集團已經利用相同手法,橫行美國與歐洲銀行,至少有50間俄羅斯銀行受駭,而這個銀行惡意程式可以同時控制52臺ATM,並更改銀行特定廠牌Wincor(德利多富)ATM吐鈔的限制,也因此能破解臺灣ATM一次提款,最多只能提領本行3萬元、跨行2萬元的限制。Wincor原本是德國廠牌,主要的優勢在於相關的ATM軟體,硬體多是找代工貼牌,但是該ATM在去年賣給美國公司,而Wincor在拍賣網站的售價大約新臺幣4萬元~6萬元不等。
雖然詳細的內情還需要檢警調單位進一步調查,但是,從同是俄羅斯人所為,同一ATM廠牌受駭,加上駭客可以同時控制多臺ATM,並且有多名APT資安研究員同時引述這樣的攻擊手法,整起事件極有可能是俄羅斯黑幫集團,利用金融木馬、盜領提款機內現鈔的臺灣版犯罪事件重現。
俄羅斯黑幫九大步驟盜領一銀ATM,使用同一廠牌ATM
由於整起事件還由相關單位調查中,但是,這樣的駭客攻擊手法對於多位專研APT攻擊的資安專家們,都具有相當熟悉的感覺。他們也直接引述由荷蘭與俄羅斯資安研究公司Group-IB及Fox-IT兩間公司聯手在2014年發表的一份資安報告〈AnunAk:APT Against Financial Institutions〉,其中,俄羅斯黑幫就是鎖定如同第一銀行此次受駭的ATM廠牌Wincor,透過修改相關的ATM登錄機碼,就可以修改ATM提款機的吐鈔數量的提款面額限制。
該份資安報告也將駭客入侵銀行的手法,分成九大步驟進行。首先,駭客會透過寄送魚叉式釣魚信件,將惡意程式植入在一般銀行行員所使用的電腦中;其次,駭客會伺機在銀行內部系統作橫向移動,目的就是要取得具有系統管理員行員的密碼,例如某一些提供技術支援的工程師便是鎖定的對象之一。
第三,取得其中任一臺伺服器,合法存取伺服器的權限;第四,從伺服器中,取得網域管理員(Domain Administrator )的密碼;第五,由於網域管理員具有修改網域設定,和新增、刪除和修改所有網域帳號使用者的權限,當駭客獲得該權限後,就可以控管所有網域帳戶的使用者;第六,接著掌控銀行使用者的郵件系統,不分是微軟的Exchange郵件伺服器或是IBM的Lotus郵件系統,以及掌握工作簽核流程系統的伺服器。
第七,獲得存取伺服器及銀行系統管理員工作站的權限;第八,植入可以監控維運系統的監控軟體,觀察使用者行為,也常使用錄影與拍照的方式進行;最後則是,利用遠端存取控管的權限,修改某些有興趣系統的設定,包括防火牆的設定在內。
客製化惡意程式平均潛伏42天,至少50間俄羅斯銀行受駭
該份報告顯示,最早這種金融詐騙的手法是發生在2013年的俄羅斯境內,主要受駭對象是銀行、電子支付業者、零售業、媒體以及公關公司等產業。這樣金融詐騙發生在銀行內部網路,往往都會使用銀行內部的支付閘道器與內部銀行系統,所以,駭客竊取的金錢是從銀行的系統而來,並非竊取銀行個別客戶的資金。也有消息指出,這樣的黑幫集團因為有利可圖,也會用於產業的網路間諜和股票市場交易外,也會刺探政府相關的資訊。
這個俄羅斯黑幫主要來自於俄羅斯、烏克蘭和白俄羅斯,從2013年起,每一起攻擊事件至少獲利200萬美元,至少有50間俄羅斯銀行、5個支付系統受駭,其中,還有2間金融體系因此喪失繼續開門做生意的資格。
由於這個俄羅斯黑幫使用的惡意程式是一種低調潛伏的APT惡意程式,從入侵該金融單會的系統,到順利偷錢,平均潛伏42天,這樣的潛伏天數比以鎖定國家政府的APT攻擊潛伏天數更短,可以推論,因為這些俄羅斯黑幫只是為了要快速拿到錢,目的不在偷資料,便不需要長時間潛伏在企業的內部系統中。
因為ATM系統往往是獨立的系統,俄羅斯黑幫要成功取得相關的控管權限,最好的方式就是透過寄送魚叉式網路釣魚信件(Spear Phishing),也因為會需要和發送垃圾郵件的傀儡網路業者保持合作關係。等到這樣的黑幫取得電子郵件伺服器的控制權限後,就可以監控銀行內部的溝通,不論是有發生哪些異常現象,或者是使用何種應對措施,其實都在這樣俄羅斯黑幫的控制中。
第一起成功偷錢的金融詐欺事件發生在2013年,駭客為了要能遠端存取銀行的內部系統,使用可以遠端遙控的RDPDoor木馬程式,和可以消除追蹤跡證並癱瘓微軟作業系統的MBR Eraser惡意程式;當時,駭客為了要降低遠端存取銀行內部系統的風險,也會使用合法的遠端登入的應用程式,例如Ammy Admin及Team Viewer。
直到2014年,這個俄羅斯黑幫也發展出完整的金融詐欺惡意程式Anunak,除了整合原本已經開源的銀行木馬程式Carberp,也將一些常見應用程式整合在這個惡意程式的套件中,包括:可以擷取本地端與網域端使用者帳號密碼的工具Mimikatz;癱瘓作業系統的MBr Eraser;可以掃描網段和內網的SoftPerfect Network scanner;取得密碼的Cain & Abel;取得密碼並可以遠端遙控的SSHD後門程式;以及可以遠端遙控的Ammy Admin及Team Viewer兩個應用程式功能在內。
勤業眾信建議金融業的事前預防和事後應變方針
由於臺灣還是法治社會,雖然有完整的資安報告可以推論,一銀可能是遭到該俄羅斯黑幫的鎖定,但包括個別ATM設備植入惡意程式驅動吐鈔模組的惡意程式特徵與攻擊方式,以及是否是國際盜領集團所為,勤業眾信企業風險管理副總經理溫紹群認為,這一切仍有待檢警調最後公布的調查結果才能確定;至於其他的金融業者,則為了降低可能的風險,紛紛將受駭的ATM型號(WINCOR 1500XE)暫停使用並進行全面檢測。
溫紹群表示,在相關事件發生原因並不明朗的情況下,勤業眾信建議應該從事前預防及事後應變等兩個面相著手。
在事前預防方面,他提供5點建議,首先,金融業者除了要全面盤點ATM同型號設備,評估風險後,可考量將該款機型全面暫停服務,若無法全面暫停服務,建議非營業時段是否考量少放點鈔票;其次,建議此ATM同型號設備,有關程式執行之權限控制,以白名單方式進行控管;第三,針對此ATM同型號的設備進行惡意程式檢測作業(如系統異常行為檢測);第四,確認近期是否有ATM設備換版、中央派送及到場軟硬體維修保養紀錄;最後,需另行盤點負責維運此ATM同型號設備的委外廠商人員。
至於事後應變,主要是指當ATM設備有發生異常情況時的因應策略,溫紹群也有3點建議,包括:依據數位鑑識程序針對被盜ATM的硬體進行記憶體擷取及硬碟證據保全作業;確認系統所執行程序(Process)及服務/排程/Autorun等主機行為資訊;和檢查應用程式與前幾代版本之內容差異。
勤業眾信企業風險營運長萬幼筠表示,在歐洲頻頻發生這類的金融詐欺事件,很多是來自於羅馬尼亞駭客團體的攻擊;目前臺灣雖然還不清楚事件發生的真正原因,但企業如何正本清源,落實相關的資安稽核與應變措施,才是確保企業資安非常重要的關鍵。
由於這類的科技犯罪要偵辦,政府體制內的人力並不足,所以會出現市調處對媒體公布,發現植入一銀ATM的兩隻惡意程式「cngdisp.exe」、「cngdisp_new.exe」,但對資安專家在實務上,只有兩個檔名一點幫助都沒有,如果相關單位可以提供惡意程式的MD5,可以做比對外,若能在公布YARA(惡意程式特徵規則)或者是IOC(Indicator of Compromise)規則,才比較有機會獲得民間資安專家的協助。