第一銀行被盜領8,327多萬元案,案發後六天車手及處理贓款的嫌犯被逮捕,並追回6千多萬元,然而,真正的遠端駭客尚未找到。但確定的是,駭客透過電話錄音硬碟和ATM網路更新派送系統,進入銀行內網,才發動此次遠端ATM吐鈔。22日登場的台灣駭客年會HITCON由資安專家針對目前已揭露的公開媒體資訊,分析此次駭客集團攻擊的可能手法。
這次駭客攻擊,到底跟電話錄音硬碟和ATM網路更新派送系統(DMS設備管理派送系統)有什麼關係?大家也都想知道,明明不對外連線、獨立於銀行內網的ATM系統,駭客為什麼還可以植入惡意程式並連線攻擊?
調查局新北市調查處發現,一銀倫敦分行電腦主機的電話錄音硬碟遭駭,並入侵派送軟體,進而開啟ATM遠端控制服務,派送完後透過網路遠端登錄服務Telnet進行遠端控制,利用軟體更新時順便植入惡意程式,潛伏在ATM裡,導致駭客可以在遠端驅動ATM吐鈔。
(圖說:第一銀行遭駭客攻擊,從倫敦分行駭進總部派送系統,遠端控制ATM。圖片來源:蔡仁譯攝影。)
資安專家張裕敏分析一銀盜領案的攻擊手法,他認為,「用釣魚郵件進到內網最有可能!」用釣魚郵件先引誘第一銀行倫敦分行內部員工感染惡意程式,但內部員工不見得有最高權限,所以駭客必須花點時間,拿到最高權限。
接著,分行和總行之間的內網一定有某種方式可以互相連線,駭客想從一個分行的內網駭進總部的內網,再進而控制眾多ATM,所以必須考慮分行跟總行到底怎麼連線?分行的作業區(指內網的範圍)跟ATM的作業區是否合在一起?張裕敏指出,第一銀行總行和分行的網路架構很可能是同一區塊。
不過,這到底跟倫敦分行的電話錄音主機有什麼關係?張裕敏說,電話錄音硬碟被駭,有可能是駭客為了進到分行的硬體防火牆,取得最高權限。
張裕敏解釋,駭客拿到分行的最高權限之後,就攻擊總行的ATM派送系統,透過Telnet進行ATM的遠端控制。張裕敏指出,這代表DMS派送機器本來沒有Telnet服務,再加上ATM WINCOR 1500xe的預設系統是Windows XP,透過派送系統可以打開ATM的Windows XP系統。
(圖說:張裕敏分此次駭客攻擊第一銀行的手法和路徑,DMS派送制機是關鍵。圖片來源:郭芝榕攝影。)
張裕敏說,駭客只要透過網路遠端登錄服務Telnet連線到ATM主機之後,就可以用各種方式把外面的軟體抓進銀行的內網,例如可以透過進階性持續威脅APT、透過網路芳鄰把硬碟分享出去、把外面的網路芳鄰分享進來、或是把執行檔用除錯的方式變成文字檔、外面的文字檔透過除錯的機會變成執行檔…等等。
換言之,「駭客只要可以用Telnet進到ATM系統,就可以把惡意程式放進來,就能控制ATM!」吐鈔程式cngdisp.exe及cngdisp_new.exe,還有惡意程式cnginfo.exe就是在這個情況下被放進第一銀行的內網,利用ATM軟體更新的機會,感染了ATM。
車手到ATM現場,用電話把ATM機器號碼告訴遠端駭客,就可以吐出鈔票。張裕敏說,不太可能吐鈔時間已經寫在惡意程式裡,不然只要車手的時間有誤差,ATM就會一直吐鈔。
針對一銀決定要換掉全部Wincor機台,資安專家們紛紛表示沒有這個必要,張裕敏說,「如果惡意程式可以放到A機台,也可以放進B機台,重點應該要放在為什麼惡意程式跑得進來?理論上不可能會出現惡意程式!」
資安專家叢培侃說,「最冤枉的是ATM廠商!因為他們沒有漏洞,換掉ATM其實沒有用。」其實銀行的資安沒有大家想像得那麼好,要有一些機制,任何人都不能去複製它的API,網路安全也要注意內網派送機制。
至於大家在猜測內鬼的可能性,台灣駭客協會理事長蔡松廷說,根據公開的資訊,有內鬼的機率很低,從入侵到控制ATM的過程,其實不難。但是要買通內鬼,風險很大,也要有代價。按照成本來說,直接入侵、控制提款機相對比較簡單。
