在2017年7月盛夏過去這2周,恐怕是全臺銀行IT主管們都輾轉難眠的一段時間。因為7月10、11日周末凌晨,第一銀行爆發了臺灣有史以來第一次的大規模ATM遭駭盜領案。案發至今2周了,IT主管們反覆縈繞在心頭的問題是,如果我是一銀,能防得住駭客嗎?
以信任為基礎的銀行,對於資安的投入程度,往往高於其他產業。去年規畫採購新式APT攻擊的產業以金融和政府機關最高,至少2成金融業者要買,近5成臺灣大型金融業者也規畫採購滲透測試服務,來強化網站與系統的安全性。而第一銀行,從過去資安治理推動成果來看,也可說是臺灣銀行界的資安優等生。
一銀是臺灣第一家拿到ISO 27001資安認證的大型銀行、更率先完成ISO/IEC 20000:2005資訊服務管理標準驗證,是第一家同時取得兩項資安治理驗證的銀行。但是,為何資安資優生,卻在這次ATM盜領事件發生之前,一點兒也沒有察覺自家內部網路或主機遭駭呢?
這次遭駭的ATM是推出超過十年的德利多富(Wincor)舊款ATM,型號為Pro Cash 1500,內建的是微軟已經停止支援的Windows XP作業系統,儘管透過特殊合約仍可尋求微軟客制安全更新,不過,只要進入eBay,人人都可以下標買到同款ATM來研究入侵手法,過去向來外人難知的ATM防護機制,在這款機型上一點都不是秘密。根據金管會清查,全臺39家金融機構,連同中華郵政在內,共有2.5萬部ATM,其中約2成,也就是近5千臺都是同一款ATM,一銀手上的4百多臺同款機型只是少數,其他金融機構部署的數量更多。但是,為何只有第一銀行的ATM遭駭?這是另一個眾人想破頭的疑惑。
7月18日,調查局發現,第一銀行倫敦分行內一臺平時深鎖於鐵櫃的電話錄音伺服器,竟然在盜領案發時間,頻繁連線臺灣的ATM主機。進一步追查,證實該分行遭駭,連夜請一銀倫敦分行主管趕回臺灣,同時帶回3顆硬碟,包括遭駭伺服器內的2顆硬碟,和遭入侵PC的硬碟。
隨著入侵端點的發現,木馬程式行為和軌跡的追蹤,調查局逐漸拼出為何只有一銀ATM會遭到駭客控制的關鍵。不是因為ATM被鎖定,而是一銀內網遭駭客潛入,而ATM只是受害的肉票對象而已。
3支金融木馬程式,透過合法的ATM更新派送系統,暗度陳倉穿過內網資安系統的監控,植入了ATM系統中,等到領錢車手就定位,遠端(駭客遠在英國、東歐等都有可能)操控的駭客一舉控制ATM吐鈔,事後還會使用系統內建加密刪除工具,將入侵的作案木馬程式和軌跡都清除。若不是調查局在木馬銷毀失敗的ATM中,發現了木馬程式,進而從其他ATM中反組回遭刪除的程式,才找到破案的關鍵線索。
同樣事件若發生在臺灣其他的銀行,會如一銀這般遭駭?或是能事先察覺及時阻止呢?為了讓IT主管更了解ATM入侵事件的始末,也可供未來規畫預防對策的參考,我們緊急製作了封面故事「一銀ATM遭駭事件大剖析」,特別鎖定駭客入侵途徑,追追追。