ForceShield技術長林育民
震驚臺灣社會的第一銀行ATM盜領8,327餘萬元的資安事件,在歷經一周的追緝後,終於抓到仍在臺灣的三名外籍共犯,警政署長陳國恩更大肆宣布破案,彰顯臺灣不是這些國際犯罪集團可以任意作亂的國家。只不過,被捉到的嫌犯之一,拉脫維亞藉安德魯被移送時幽幽地說一句:「你們只是擔心那些被搶的錢。」更讓人覺得這件事有蹊蹺。
調查局證實,駭客從一銀倫敦分行作為入侵內網ATM跳板
果不其然,隨著更新的調查結果出爐,不僅發現俄羅斯駭客集團是透過入侵資安防護相對薄弱的一銀倫敦分行的電話錄音系統後,再滲透到內網,取得一銀內部的網路拓樸後,再進一步取得ATM派送更新軟體的伺服器權限。
不過,駭客究竟如何從入侵分行的錄音系統再滲透到內網,一直是大家關注的重點。調查局表示,入侵分行錄音系統的方式,不排除是魚叉式釣魚郵件,或者是內神通外鬼兩種方式,先掌握分行行員電腦,再設法入侵分行系統。
而如何進一步滲透到銀行內網的手法,曾經在2006年,利用ATM漏洞和測試工具,遠端控制Wincor這個廠牌的ATM,進行遠端遙控吐鈔測試的ForceShield技術長林育民表示,ATM的安全弱點可以從三個面向來看,分別是內部人員及維護廠商等內鬼造成的,或者是駭客直接從外部入侵,以及利用軟硬體漏洞取得ATM的控制權限。
林育民表示,從目前調查局釋出的資料看來,一銀ATM盜領事件比較像是駭客直接從外部入侵造成的資安事件,若要進一步分析可能的入侵方式,大致可以包括三種方式。
第一種,駭客會利用跳板主機或行內網路進行入侵,遠端控制ATM。即便大家普遍認為ATM網路是封閉網路,因為會與外網隔離所以相對安全,但林育民表示,只要銀行內網有特定設備可以連結ATM網路,駭客就可以透過多個跳板進行攻擊,遠端控制ATM。
第二種,讓ATM或其他主機感染惡意程式,連回駭客控制的命令與控制伺服器(中繼站)後,駭客就可以遠端控制ATM。但林育民也指出,這個感染ATM或其他主機的方式,除了可以透過USB隨身碟感染惡意程式外,也可以利用軟體派送更新或操作過程的疏失,讓ATM系統因此感染惡意程式,駭客便可以管控該臺受駭的ATM。當然,他說,也有部分銀行允許ATM系統可以對外連DNS和防毒軟體更新,這時候,惡意程式也可以通過DNS向駭客進行回報,控管該ATM系統。
第三種,駭客可以透過感染惡意程式和網路攻擊方式,癱瘓ATM的網路系統。目前從調查局釋出的資訊可以猜測,駭客是利用第二種手法中的軟體更新或操作過程中的疏失,藉此遠端操控ATM系統。
以派送方式入侵分行系統後,再取得管理員權限為惡
調查局新北市調查處則表示,根據數位鑑識結果發現,駭客在入侵一銀倫敦員工的個人電腦,設法取得內部管理員的權限,之後,再7月4日設法操控一銀總行的ATM軟體派送伺服器後,就可以利用派送ATM更新軟體之便,打開ATM遠端連線服務(Telnet Service)。
之後,等到7月9日,駭客再從遠端登入,將惡意程式派送到ATM設備中,而這些被植入ATM設備的惡意程式,都有設定,僅限2016年7月有效,一旦逾期,惡意程式中控制ATM遠端吐鈔程式cngdisp.exe及cngdisp_new.exe,或者是顯示該受駭ATM資訊的惡意程式cnginfo.exe,也都會失效。
之後,駭客也會將利用一個批次檔cleanup.bat,執行微軟內建的刪除功能sdelete.exe,也同時將遠端連線服務Telnet Service由手動變成自動模式。調查局也指出,目前數位鑑識發現,這些被刪除的程式則被儲存在C:\install以及C:\Documents and Setting\Administrator\中。
資安專家表示,一般推論,如果是透過遠端連線服務telnet進入銀行分行系統時,假若駭客是利用軟體更新的派送方式,將惡意程式儲存在ATM中時,可以發現相關的惡意程式會存放在C:\install中;但如果是取得電腦系統管理員權限後,再將惡意程式植入ATM系統,相關的惡意程式則會存放在C:\Documents and Setting\Administrator\中。
資安專家指出,如果透過軟體派送的惡意程式,在上述兩個資料夾中都有發現,就邏輯推論,派送的軟體應該比取得管理員權限的程式,可能更早1~2個月,就已經被駭客植入到分行系統中。
直到惡意程式設定的有效期間到了之後,駭客就可以開啟ATM遠端連線服務,將包括ATM遠端吐鈔程式,以假冒更新ATM軟體方式,派送到各個ATM設備上。
當然,這種派送更新ATM軟體的過程中,資安專家認為,銀行內部系統可能都透過,一、採用帳號Administrator、密碼firstbank123的弱密碼的方式,或者二、使用弱點攻擊成功的方式,甚至是三、從員工的Excel表單中,偷看到總行的密碼等方式,更容易從分行系統透過專線方式,進入到總行系統中。
俄羅斯地下論壇有駭客宣稱,會在今年夏天大幹一場
長期觀察俄羅斯黑幫利用駭客進行各種網路攻擊的資安專家表示,其實去年底在俄羅斯的地下論壇中,就有發現,有駭客團體對外宣稱將在今年夏天,針對Wincer廠牌的ATM,幹一票大案子。「We've been following an ATM malware development group out of Russia that specializes in malware that they deploy (physically up to this point) on ATMs to empty the cassettes. We've confirmed that it works as advertised. They also claim to have been "planning something big for this summer." Given the timing and some other targeting characteristics (specifically the targeting of Wincor machines), we suspect that it may be this group, but we can't confirm at this time. Looking further into it.」
而且,這些俄羅斯黑幫份子其實並不相信這些駭客,所以,針對這類的ATM攻擊事件中,至少會有三組以上的不同成員,彼此分工合作但卻又互不相識。就功能分工的設計上,至少,會有一組駭客設計破解ATM的惡意程式;也有一組駭客專門負責攻擊、放後門並執行後門程式,執行ATM吐鈔;最後也會安排一組專門提款的車手負責從ATM領錢。
但從一銀的ATM盜領事件中則可以發現,俄羅斯黑幫集團連洗錢都會安排第四組人選負責,由此,更可以發現整個黑色產業鏈,不僅分工精細而且都是朝向專業化的分工方式。
一銀ATM缺乏足夠的監控和預警機制
其實,就銀行治理上,第一銀行一直是模範生,是非常早期就已經取得包括ISO 27001和ISO 20000雙認證的單位,加上金管會對於銀行向來是高度控管,而且一銀在ATM上,也一直都還是採用SNA封閉網路架構的銀行,也難怪,爆發ATM盜領事件時,震驚社會及金融圈。
資安專家表示,從目前外界可以獲得的資訊來看,一銀的ATM網路和內部辦公網路並沒有有效隔離,一銀對ATM上啟動哪些服務和作業系統日誌都沒有監控,這也會造成一銀爆發如此重大ATM盜領事件時,無法有任何事先預警機制。
若進一步解析第一銀行的IT治理,我們也可以發現盲點所在。首先,不論是ISO 27001或者是ISO 20000,都是以資訊單位為認證範圍的認證,加上,金融業長期認為,封閉網路系統的ATM是比較安全的,都使得一銀缺乏足夠的警覺性面對這樣的盜領事件。
再者,一銀的ATM設備雖然都有安裝防毒軟體,但是,包括cngdisp.exe、cngdisp_new.exe和cnginfo.exe等執行檔,經過調查局的鑑識後才確定為惡意程式,但是一剛開始,防毒軟體都不會認定是惡意程式,只會認定為是一種具備特殊功能的執行檔時,銀行忽略面對這種關鍵服務時,應該只能以白名單的方式,允許少數的合法程式可以在ATM系統中執行,而非由防毒軟體來判斷應用程式的安全性。
第三,ATM裝置上缺乏相關的預警系統,例如,ATM有異常金錢提領時,為什麼沒有任何警示;而當ATM的現鈔與帳務盤點有不符時,第一時間為何沒有事先預警等等,也都是讓這樣的盜領事件,殺的讓人措手不及的原因。像是在ATM設備上,若要做到機械性控制ATM吐鈔,基本上需要額外有一個不受ATM作業系統控制的獨立硬體裝置,例如壓力計數晶片,可以透過SIM卡將資訊回傳總公司,可以有雙重資訊作比對,銀行的掌控性才相對高。
資安專家也建議包括一銀在內的金融業者,主管機關要求的各種資安與IT管理認證,不應該只是為了認證而認證,不應該將所有經歷都放在填ISO表單,全部紙本作業看起來安全,事實證明,就是有可能爆發讓人意想不到的資安事件,「技術性的檢驗落實,才是IT與資安認證的重點。」資安專家說道。
上週(7/10~7/16)重要資安事件回顧:
※行政院資安處8月1日掛牌上路,現任國發會資訊處長簡宏偉任資安處長一職
※勒索軟體剋星來了! 研究人員發表能阻止勒索軟體加密的CryptoDrop系統
※《獨家》調查局揭露:一銀ATM盜領惡意程式指定在7月發作,逾期失效
※Pokemon GO首個更新出爐,修補Google帳號登入的隱私漏洞
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-23