駭客以無檔案惡意程式遙控俄銀行ATM吐鈔，損失80萬美元

安全業者卡巴斯基周三公佈，今年稍早兩間俄羅斯銀行遭駭客以無檔案惡意程式攻擊ATM，令ATM主動吐出大把鈔票時趁勢劫走，而且事後幾乎完全找不到跡證。
 
The Hacker News 及Motherboard報導，這起離奇案件作案時間太快令人措手不及，唯一證據是3月20日一台監視器拍到一名神祕人士出現抱走 ATM吐出的鈔票揚長而去，完全沒有破壞任何機器。至少8台ATM被駭，銀行方面損失高達80萬美元。
 
接獲受害銀行委託調查的卡巴斯基研究人員指出，該團體的無檔案攻擊手法十分高明，以致於銀行鑑識專家及研究唯一找得到證據只剩下ATM硬碟裏包含二個惡意程式log的檔案，當中留有Take the Money Bitch!及Dispense Success的字串。不過研究人員就從以逐步追查出惡意程式及整個犯罪手法。卡巴斯基後來將之命名為ATMitch。
 
研究人員分析發現(下圖，來源：卡巴斯基)，駭客攻擊手法分成二階段。第一階段是尋找有漏洞沒修補的ATM網路管理伺服器，並以Windows 工具及Meterpreter、PowerShell script等攻擊工具，在伺服器記憶體中植入惡意程式，並和外部C &C伺服器建立連結，且暗中蒐集管理員密碼。由於它並不存在硬碟中，因而不會被防毒軟體偵測到，同時會隨著系統重開機而消失。

在接下來的第二階段中（下），駭客透過RDP與ATM建立連結，並在ATM中植入ATMitch。ATMitch會找尋讀取駭客存在ATM硬碟中的command.txt檔案。這些檔案內含單一字母組成的指令，如O代表開啟提款機（Open dispenser）、D代表發鈔(Dispense)。

 
隨後駭客在遠端等同夥出現在ATM前，即下達指令要求任何一台提款機吐出他想要的鈔票張數。做案後駭客即遠端刪除ATM的惡意程式，使所有犯罪蹤跡消失不見。
 
卡巴斯基首席安全研究人員Sergey Golovanov指出，犯下本案的駭客在第一階段使用開源攻擊程式、常見的Windows工具 及不知名網域，以及無檔案攻擊手法，使得犯案元兇難以追查。不過從駭客使用的俄語來判斷，以2014年利用APT手法犯下銀行入侵案的CGMAN或Carbanak嫌疑最大。
 
這已非第一起ATM駭客攻擊案。去年7月台灣的第一銀行全台41 台ATM遭駭被竊走8000多萬，隨後泰國及歐洲也分別傳出ATM搶劫案。