國外ATM盜領案件vs國內ATM盜領可能的思維

2016 / 07 / 13

編輯部

近日，媒體沸沸騰騰的報導，國內發生首宗ATM感染惡意程式遭盜領的案件。嫌犯直接從ATM中提領現金高達七千萬元。一時之間國內各行庫針對這則新聞不斷提出對策，主管機關也要求各行庫擬訂因應計畫。但就目前媒體的資料，反而偏重在嫌犯逃離的路徑，或是地下匯兌的管道，對於真正的原因，也是眾說紛紜，包括有專家表示，是因為快速換版所造成的，也有人說是內神通外鬼。但都沒有較為明確的答案，甚至也有聽聞硬體供應廠商要出來召開記者說明會。但這樣的案例，其實就在國外已經有多次發生，我們就從國外相關的報導進行探討，希望對這起案件能提供一些其他的思維。

就目前我們手邊所看到的資料，類似的ATM案件從2013年起開始在俄羅斯興起，在蘇聯地區平均犯案所得每次約為2萬盧布，至今已經至少犯下50起案件，獲取的金額已經超過十億盧布。而每次從攻擊開始到犯案，其中潛伏的時間長達六週，主要攻擊的對象，就是讓ATM提款機能夠順利吐鈔。如果資料正確的話，那這種就是典型的進階持續性攻擊(Advanced Persistent Threat, APT)。而攻擊的源頭則是透過郵件的寄送，並且將惡意軟體夾藏在郵件中。當使用者不慎打開後，惡意軟體就常駐在使用者端，並且利用遠端桌面協議的漏洞(Remote Desktop Protocol RDP)，建立起與ATM之間的連線。當然，集團成員也會利用多種工具，去掩蓋所留下來存取的軌跡。在整個入侵的過程中，除了透過電子郵件傳送外，同時也會一支m*的open source檔案，嘗試取得該台個人電腦的使用權限，並且透過該台電腦，與其他伺服器取得連線後，記錄IP位置並且繞過防火牆，藉以建立攻擊管道。在這一連串的過程中，其中有一隻非常罕見的惡意程式，名為” Barus” ，利用這支程式把被感染的伺服器與遠端進行連結，並且修改相關的設定。

如果在仔細回推一下整個事件的源頭，還是透過一般使用者，當他開啟來路不明的電子郵件，或是打開附加的檔案，所有的災難就接踵而來。去年度因應主管機關的要求，針對銀行業進行社交工程演練，並且列入資安檢測的項目之一。但初期執行點擊的比例還有改善的空間。在連接到伺服器之後，最後最主要的一步是要連接ATM的網路。如果網段區隔的不清楚，或是沒有密切注意網段間的連絡，就有可能輕易找到目標。一旦找到目標後，換言之這個網段下同型號的ATM應該是無一可倖免。以上述所提到的攻擊方式，最終的攻擊對象就會與這次國內銀行發生盜領事件的ATM是屬於同一種廠牌。駭客在找到ATM設備之後，就會更改Registry Key的設定，將其中負責提款模組下一組名為”value_1”的設定值及另外一支” “KDIAG32”的程式加以修改，如此一來對於駭客集團而言，幾乎可以說是大功告成，接下來就是要在現場將惡意程式啟動，並且享受結果。

這個駭客集團從2014年下半年起，將觸角觸及到美國、澳洲、西班牙等地，並且不斷的翻新作業的程式，但我們可以發現基本的攻擊模式是沒有改變的。而從國外的調查報告中得知，這個集團目前也開始對西歐或其他地區開始佈署重兵。雖然無法證明國內的案件與這個集團有關，但這樣的攻擊手法也是可以提供我們做參考。就在晚間法務部調查局的新聞稿中檢測到「cngdisp.exe」及「cngdisp_new.exe」這兩支惡意程式的存在。就目前各行庫而言，除了與案件中相同的機型建議停用並進行檢測之外，其他的行庫，如果使用不同的機型或是使用不同廠牌的ATM，建議還是要對內部的網路進行監控，如果有發現到試圖嘗試連線，或是連線失敗的案例，還是需要儘可能得找出原因，畢竟資安工作絕不是一天兩天就可以做完的。

駭客、ATM、銀行