雷鋒網(wǎng)按：不僅僅是臺(tái)灣首宗銀行遭跨境黑客盜領(lǐng)案，跨境黑客入侵各地的ATM，滲透超過100家銀行，至少有30個(gè)國(guó)家及地區(qū)受害，竊取的金額，大約已有3億美金，且迄今懸案未破。那么，黑客究竟是如何攻擊的？本文試圖還原整個(gè)事件過程，作者系360追日?qǐng)F(tuán)隊(duì)。

| 前言

2016年7月中，我國(guó)臺(tái)灣地區(qū)的臺(tái)灣第一銀行旗下20多家分行的41臺(tái)ATM機(jī)遭遇黑客攻擊，被盜8327余萬(wàn)新臺(tái)幣，目前該案已經(jīng)破獲，抓獲犯罪嫌疑人并追回大部分被盜款項(xiàng)。360追日?qǐng)F(tuán)隊(duì)對(duì)這起針對(duì)ATM機(jī)的黑客攻擊盜竊事件進(jìn)行了分析，還原了整個(gè)事件的過程，分析了黑客攻擊手法和過程，并據(jù)此提供了安全建議。

| 事件過程

臺(tái)灣第一金控旗下第一銀行（First Bank）是我國(guó)臺(tái)灣地區(qū)（以下簡(jiǎn)稱臺(tái)灣）的一所大型商業(yè)銀行，該行于6月初推出無(wú)卡提款服務(wù)。（以下部分內(nèi)容摘自臺(tái)灣媒體的公開報(bào)道）

2016年7月11日：

臺(tái)灣警方接到市民報(bào)案，表示看到有人在操作ATM時(shí)，行為怪異，隨即ATM有不明吐鈔情況。

2016年7月12日：

第一銀行發(fā)布公告《第一銀行ATM遭異常盜領(lǐng)客戶權(quán)益不受影響》表示“第一銀行部分分行ATM提款機(jī)遭異常盜領(lǐng)，作案過程約5~10分鐘，交易集中在7月9日和7月10日，目前本案共計(jì)遭盜取的金額約7000多萬(wàn)新臺(tái)幣，20家分行共34臺(tái)ATM發(fā)生異常，目前已緊急報(bào)警處理。初步了解可能遭植入惡意軟件驅(qū)動(dòng)吐鈔模塊執(zhí)行吐鈔，都是德利多富（Wincor）公司的同一機(jī)型（pro cash1500機(jī)型），目前該款機(jī)型已全面暫停服務(wù)?！钡吕喔唬╓incor）的產(chǎn)品涉及銀行業(yè)及零售業(yè)，在銀行業(yè)包括現(xiàn)金類自助設(shè)備和非現(xiàn)金類自助服務(wù)終端及其解決方案，代表硬件產(chǎn)品如自動(dòng)取款機(jī)、存取款一體機(jī)、多媒體服務(wù)終端、存折打印機(jī)等；業(yè)務(wù)遍及130多個(gè)國(guó)家和地區(qū)。而在這起臺(tái)灣劫案中，被歹徒攻擊的ATM其實(shí)是老舊機(jī)型，在ebay拍賣網(wǎng)站上只要1475美元就能買到。

后經(jīng)第一銀行清算核實(shí)，全臺(tái)共有41臺(tái)ATM遭到盜領(lǐng)，被盜金額8327余萬(wàn)元。這是臺(tái)灣首宗銀行遭跨境黑客盜領(lǐng)案。

2016年7月17日：

臺(tái)灣警方通報(bào)稱，通過調(diào)取監(jiān)控錄像等手段，鎖定該案16名嫌犯及1名關(guān)系人均來(lái)自境外，其中13人已離臺(tái)，并于17日在宜蘭抓獲主犯拉脫維亞籍男子安德魯，當(dāng)晚又在臺(tái)北抓獲羅馬尼亞籍和摩爾多瓦籍共犯各一人，追回贓款6050萬(wàn)元。經(jīng)查，這伙嫌犯自7月6日起以觀光名義分批從土耳其、中國(guó)香港等地進(jìn)入臺(tái)灣，9日至11日分別到臺(tái)北市、新北市、臺(tái)中市等地，以1人至3人為一組，利用木馬程序入侵第一銀行ATM，然后通過通訊軟件遠(yuǎn)程遙控ATM自動(dòng)吐錢，其余同伙則負(fù)責(zé)領(lǐng)錢、把風(fēng)。犯案后，13名嫌犯迅速離臺(tái)。已追回的6050萬(wàn)現(xiàn)鈔，被存放在臺(tái)北車站，嫌犯通過“情報(bào)秘密傳遞點(diǎn)”（dead drop）的方式將部分現(xiàn)金以“行李箱寄放”的方式存放。17日晚間，臺(tái)灣當(dāng)局“警政署長(zhǎng)”陳國(guó)恩表示，跨境黑客入侵各地的ATM，滲透超過100家銀行，至少有30個(gè)國(guó)家及地區(qū)受害，竊取的金額，大約已有3億美金，且迄今懸案未破。

2016年7月18日：

臺(tái)灣《聯(lián)合報(bào)》報(bào)道稱，調(diào)查局新北市調(diào)處安全人員查出有惡意程序通過一銀英國(guó)倫敦分行，侵入臺(tái)灣總行。警方已約談第一銀行倫敦分行信息主管、第一銀行臺(tái)灣信息部門負(fù)責(zé)人及ATM廠商總部代表等3人，為查清是否有內(nèi)鬼參與盜領(lǐng)案。在當(dāng)晚10點(diǎn)召開的記者會(huì)上，新北市調(diào)查局指出，第一銀行的ATM機(jī)器程序更新，是由內(nèi)部下發(fā)主機(jī)、服務(wù)器自動(dòng)下發(fā)到各ATM。7月4日，入侵者仿冒更新軟件并下發(fā)至第一銀行各ATM，開啟ATM遠(yuǎn)程控制服務(wù)(Telnet Service)。直到7月9日入侵者再遠(yuǎn)程登錄，上傳ATM操控程序后，執(zhí)行測(cè)試吐鈔開關(guān)，經(jīng)“錢騾”測(cè)試成功后，藏身在海外的幕后操控者，就開始大規(guī)模遠(yuǎn)程遙控進(jìn)行吐鈔，由各就各位的“錢騾”領(lǐng)取贓款。完成盜領(lǐng)后，遠(yuǎn)程操控者再將隱藏控制程序、紀(jì)錄文檔、執(zhí)行文檔全部清除。調(diào)查人員同時(shí)給出了第一銀行被攻擊的流程圖，具體如下：

辦案人員同時(shí)查出，對(duì)第一銀行ATM下達(dá)吐鈔指令的惡意程序，竟來(lái)自第一銀行英國(guó)倫敦分行電腦主機(jī)和2個(gè)存儲(chǔ)電話錄音的硬盤，其中一個(gè)已經(jīng)損毀。初步判斷，犯罪集團(tuán)先黑入錄音硬盤，取得電腦主機(jī)的最高權(quán)限，接著在ATM硬盤內(nèi)植入惡意程序，再派出外籍嫌犯入境臺(tái)灣盜領(lǐng)現(xiàn)金。調(diào)查人員懷疑，盜領(lǐng)集團(tuán)很可能在倫敦還有其他共犯，也不排除是第一銀行內(nèi)鬼所為的可能。

2016年7月20日：

臺(tái)北市警方證實(shí)，已在內(nèi)湖山區(qū)找到1263萬(wàn)現(xiàn)金。安德魯14日晚上按照指示到達(dá)西湖公園，但他等了一天也無(wú)人來(lái)取款，因此就將這些現(xiàn)金藏在垃圾堆中。臺(tái)北警方通過復(fù)原安德魯?shù)男袆?dòng)軌跡，最終找到了這些現(xiàn)金。一名晨練老人在西湖公園附近停車場(chǎng)撿到裝有454萬(wàn)1200元的電腦包，他將這些錢撿回家，晚間向警方報(bào)案。截止到21日，除去疑犯的生活開銷，仍有約586萬(wàn)贓款下落不明。

| 事件分析

7月12日晚間，新北市有關(guān)調(diào)查部門公布了本次攻擊第一銀行的惡意代碼相關(guān)信息：文件名、MD5 和功能簡(jiǎn)述。其中sdelete.exe程序是微軟提供的正?？尚懦绦?。

在對(duì)相關(guān)攻擊事件的分析中，360追日?qǐng)F(tuán)隊(duì)發(fā)現(xiàn)攻擊者并沒有使用銀行卡和對(duì)ATM操作等，無(wú)需物理接觸ATM，則能實(shí)現(xiàn)ATM吐鈔達(dá)到取現(xiàn)的目的。這點(diǎn)攻擊現(xiàn)象引起了我們的注意，以往攻擊ATM的事件并不少見，但能達(dá)到不進(jìn)行物理接觸而使得ATM吐鈔，是比較少見的，盡管多年前已有研究人員提出并驗(yàn)證了這一理論。

2010年7月28日，Black Hat大會(huì)上，當(dāng)時(shí)任職于IOActive的Barnaby Jack展示了他多年來(lái)對(duì)ATM機(jī)程式代碼的研究成果， 成功演示入侵安裝有兩種不同系統(tǒng)的ATM取款機(jī)并當(dāng)場(chǎng)讓ATM取款機(jī)吐出錢，他稱之為“jackpotting”。在現(xiàn)場(chǎng)，他用了兩種方法令A(yù)TM機(jī)吐鈔票，一種需要物理接觸ATM，而另一種則完全在遠(yuǎn)程執(zhí)行自動(dòng)攻擊 。兩種方法均需要惡意軟件感染機(jī)器系統(tǒng)，用以執(zhí)行攻擊者的虛假指令。具體方法如下：

l物理接觸攻擊：攻擊者充分利用對(duì)目標(biāo)機(jī)器的使用權(quán)，插入特制的U盤，然后利用惡意軟件控制網(wǎng)絡(luò)并命令機(jī)器吐錢。

l遠(yuǎn)程攻擊：攻擊者利用遠(yuǎn)程管理系統(tǒng)的漏洞，安裝惡意軟件，大多數(shù)情況下是利用遠(yuǎn)程管理系統(tǒng)的默認(rèn)管理員密碼、賬戶PIN碼和TCP端口。然后執(zhí)行惡意軟件，ATM會(huì)吐出一定數(shù)額的現(xiàn)金。

這個(gè)現(xiàn)象使我們聯(lián)想到之前發(fā)現(xiàn)的Anunak（即Carbanak）攻擊組織，該組織在攻擊ATM時(shí)也可以達(dá)到同樣的效果，進(jìn)一步我們通過分析Anunak（即Carbanak）和臺(tái)灣第一銀行事件進(jìn)行對(duì)比，發(fā)現(xiàn)二者之間有較多相似的地方，具體如下表所示：

關(guān)于Anunak（即Carbanak）：

Anunak（即Carbanak）攻擊組織，是一個(gè)跨國(guó)網(wǎng)絡(luò)犯罪團(tuán)伙。2013年起，該犯罪團(tuán)伙總計(jì)向全球約30個(gè)國(guó)家和地區(qū)的100家銀行、電子支付系統(tǒng)和其他金融機(jī)構(gòu)發(fā)動(dòng)了攻擊，目前相關(guān)攻擊活動(dòng)還很活躍。在《2015年中國(guó)高級(jí)持續(xù)性威脅（APT）研究報(bào)告》中我們提到了Anunak，通過研究分析該組織相關(guān)攻擊手法和意圖，我們將該組織視為針對(duì)金融行業(yè)的犯罪型APT組織。

Anunak組織一般通過社會(huì)工程學(xué)、漏洞利用等方式攻擊金融機(jī)構(gòu)員工的計(jì)算機(jī)，進(jìn)而入侵銀行網(wǎng)絡(luò)。進(jìn)一步攻擊者通過內(nèi)部網(wǎng)絡(luò)，對(duì)計(jì)算機(jī)進(jìn)行視頻監(jiān)控，查看和記錄負(fù)責(zé)資金轉(zhuǎn)賬系統(tǒng)的銀行員工的屏幕。通過這種方式，攻擊者可以了解到銀行職工工作的全部詳情，從而模仿銀行職工的行為，盜取資金和現(xiàn)金。

另外該組織還可以控制、操作銀行的ATM機(jī)，命令這些機(jī)器在指定的時(shí)間吐出現(xiàn)金。當(dāng)?shù)街Ц稌r(shí)間時(shí)，該組織會(huì)派人在ATM機(jī)旁邊等待，以取走機(jī)器“主動(dòng)”吐出的現(xiàn)金。

針對(duì)ATM的威脅

• 傳統(tǒng)威脅

這里所述的傳統(tǒng)威脅，主要指不利用網(wǎng)絡(luò)攻擊的情況。如下圖所示，針對(duì)ATM的傳統(tǒng)威脅主要分為這些方面。

1、卡復(fù)制是ATM安全的主要問題

通過卡復(fù)制裝置竊取卡號(hào)等信息的ATM犯罪由來(lái)已久，在全球范圍內(nèi)，每年由于卡復(fù)制造成的經(jīng)濟(jì)損失達(dá)24億美元。犯罪份子常見的手段是在ATM機(jī)上安裝非法設(shè)備從而讀取磁條信息。

2、軟件攻擊和外部破壞呈增加趨勢(shì)

針對(duì)ATM的軟件攻擊包括邏輯攻擊、黑盒子數(shù)據(jù)攻擊等。ATM普遍采用Windows開放平臺(tái)，犯罪份子通過CD-ROM或USB便可輕易將惡意軟件上傳至ATM中，從而離線控制出鈔命令，造成巨大的現(xiàn)金風(fēng)險(xiǎn)。其他作案方式還包括，犯罪份子撬開ATM上的箱體柜門，使用一臺(tái)電子設(shè)備取代ATM的工控機(jī)，鏈接到ATM的現(xiàn)金出鈔模塊，然后通過向現(xiàn)金出鈔模塊發(fā)送非授權(quán)命令，控制ATM出鈔。Times of Frauds調(diào)查顯示，自2013年以來(lái)，在全球范圍內(nèi)，針對(duì)ATM的邏輯攻擊案件正在快速上升和蔓延。根據(jù)NCR Secure Fraud Net的統(tǒng)計(jì)數(shù)據(jù)，在過去的幾年內(nèi)，全球ATM案件中物理攻擊類型增加了429%

利用網(wǎng)絡(luò)攻擊

1、惡意程序

在針對(duì)ATM的網(wǎng)絡(luò)攻擊中，主要是利用惡意程序進(jìn)行后續(xù)攻擊，其中如何植入惡意代碼是一個(gè)關(guān)鍵。首先可以通過入侵銀行內(nèi)部網(wǎng)絡(luò)，獲得ATM內(nèi)部網(wǎng)絡(luò)權(quán)限進(jìn)一步安裝植入，另外就是直接通過對(duì)ATM本身進(jìn)行操作，如從光驅(qū)、USB等入口進(jìn)行攻擊。相關(guān)惡意程序攻擊的目的基本都是使ATM在攻擊者的控制下進(jìn)行吐鈔，而有些惡意程序也具備收集銀行卡等數(shù)據(jù)信息。

2、信息竊取

一般是攻擊者通過直接攻擊銀行等金融機(jī)構(gòu)本身，或者采用其他途徑來(lái)獲得持卡人的信息（如：姓名、卡號(hào)、身份證號(hào)等）。在今年發(fā)生的南非標(biāo)準(zhǔn)銀行（Standard Bank）數(shù)據(jù)泄露導(dǎo)致日本1400臺(tái)ATM遭盜提14.4億是一個(gè)典型案例。

來(lái)自媒體的報(bào)道顯示，2016年5月15日，有網(wǎng)絡(luò)犯罪團(tuán)伙南非標(biāo)準(zhǔn)銀行（Standard Bank）的泄露的數(shù)據(jù)制造偽信用卡，從日本1400臺(tái)便利店ATM機(jī)處取現(xiàn)14.4億日元，由于這些便利店的安保措施不夠，而且這些ATM機(jī)可以接受國(guó)外信用卡，從而讓犯罪分子得逞。

警方披露的信息顯示，黑客的行動(dòng)明顯經(jīng)過周密的安排，在5月15日清晨，分布在日本16個(gè)區(qū)縣的約100名嫌疑人，在兩小時(shí)內(nèi)一共操作了14000次取現(xiàn)指令，涉及1600張信用卡，其中額度最高的一次取現(xiàn)操作達(dá)到913美元。

南非標(biāo)準(zhǔn)銀行已經(jīng)表示將承擔(dān)本次黑客行為所造成的全部資金損失，持卡人將不會(huì)被追繳還款費(fèi)用，這次信息泄露事件已為標(biāo)準(zhǔn)銀行帶來(lái)1925萬(wàn)美元的損失，未來(lái)可能進(jìn)一步增加。

3、攻擊的目標(biāo)

從針對(duì)ATM的傳統(tǒng)威脅來(lái)看，基本目標(biāo)都是針對(duì)持卡人，最終導(dǎo)致持卡人自己賬戶上的財(cái)產(chǎn)被竊取。在針對(duì)ATM的網(wǎng)絡(luò)攻擊中，一般以信息竊取的網(wǎng)絡(luò)攻擊，最終目標(biāo)還是為了攻擊持卡人本身，如通過相關(guān)信息進(jìn)行銀行卡復(fù)制導(dǎo)致金錢竊取。另一種則是針對(duì)銀行本身的攻擊，直接從ATM中盜取金錢，如本次臺(tái)灣第一銀行事件、Anunak攻擊相關(guān)銀行事件。

我們也發(fā)現(xiàn)在針對(duì)金融行業(yè)的網(wǎng)絡(luò)犯罪活動(dòng)開始進(jìn)化，進(jìn)入一個(gè)全新的階段，惡意攻擊者從針對(duì)一般持卡人或普通用戶逐漸轉(zhuǎn)向瞄準(zhǔn)銀行等金融機(jī)構(gòu)本身，目的是直接竊取銀行本身的財(cái)產(chǎn)。

針對(duì)銀行系統(tǒng)的其他威脅

在針對(duì)金融機(jī)構(gòu)本身，尤其是銀行業(yè)的攻擊中，除了針對(duì)ATM，還會(huì)針對(duì)銀行SWIFT系統(tǒng)，2016年2月孟加拉國(guó)央行被黑客攻擊導(dǎo)致8100萬(wàn)美元被竊取的事件被曝光后，如越南先鋒銀行、厄瓜多爾銀行等，針對(duì)銀行SWIFT系統(tǒng)的其他網(wǎng)絡(luò)攻擊事件逐一被公開。

在相關(guān)事件曝光后，我們從對(duì)相關(guān)攻擊事件的戰(zhàn)術(shù)層面和技術(shù)層面的深入分析，我們認(rèn)為近期曝光的這4起針對(duì)銀行的攻擊事件并非孤立的，而很有可能是由一個(gè)組織或多個(gè)組織協(xié)同發(fā)動(dòng)的不同攻擊行動(dòng)。

另外Anunak組織的相關(guān)攻擊行動(dòng)中也有針對(duì)銀行SWIFT系統(tǒng)進(jìn)行攻擊，但我們對(duì)其攻擊手法等分析，發(fā)現(xiàn)其幕后組織和攻擊孟加拉國(guó)央行應(yīng)該不是一個(gè)組織。

關(guān)于SWIFT：

SWIFT全稱是Society for Worldwide Interbank Financial Telecommunication，中文名是“環(huán)球同業(yè)銀行金融電信協(xié)會(huì)”。1973年5月，由美國(guó)、加拿大和歐洲的—些大銀行正式成立SWIFT組織，其總部設(shè)在比利時(shí)的布魯塞爾，它是為了解決各國(guó)金融通信不能適應(yīng)國(guó)際間支付清算的快速增長(zhǎng)而設(shè)立的非盈利性組織，負(fù)責(zé)設(shè)計(jì)、建立和管理SWIFT國(guó)際網(wǎng)絡(luò)，以便在該組織成員間進(jìn)行國(guó)際金融信息的傳輸和確定路由。

總結(jié)

通過深入跟進(jìn)、分析臺(tái)灣第一銀行事件、孟加拉國(guó)央行等事件，我們發(fā)現(xiàn)針對(duì)金融行業(yè)的網(wǎng)絡(luò)攻擊已經(jīng)開始進(jìn)化，攻擊者的目標(biāo)不在限于普通終端用戶，而逐漸瞄準(zhǔn)金融機(jī)構(gòu)本身。

另外這幾次針對(duì)銀行等金融機(jī)構(gòu)的攻擊幕后或者其攻擊手法都是APT組織或者利用了APT攻擊方法，這說明APT組織開始進(jìn)行針對(duì)商業(yè)的攻擊，而且會(huì)使用APT方法來(lái)進(jìn)行商業(yè)類攻擊。

從今年上半年的金融行業(yè)安全事件來(lái)看，銀行等金融相關(guān)行業(yè)本身暴露出諸多安全問題。隨著調(diào)查的不斷深入，臺(tái)灣第一銀行遭受攻擊的流程已經(jīng)逐漸清晰，但仍有諸多細(xì)節(jié)目前還未有公開解釋。但無(wú)論是相關(guān)人員工作疏忽遭受黑客攻擊或是有內(nèi)部人協(xié)助攻擊者，攻擊者通過倫敦分行電話錄音主機(jī)進(jìn)而入侵在臺(tái)的ATM機(jī)將惡意程序植入，下指令吐鈔，每一個(gè)環(huán)節(jié)都與金融安全密切相關(guān)。臺(tái)灣ATM盜領(lǐng)案雖已追回大部分贓款并逮捕部分嫌犯，但是不容忽視的是第一銀行的系統(tǒng)體系存在嚴(yán)重的安全問題。

關(guān)于ATM的一些安全建議：

1、升級(jí)操作系統(tǒng)

2、提供盡可能完備的物理保護(hù)并安裝監(jiān)控

3、鎖定BIOS，防止來(lái)自未經(jīng)授權(quán)媒介的啟動(dòng)，如可引導(dǎo)光盤或U盤

4、重置ATM機(jī)所有的鎖和主密碼，棄用機(jī)器自帶的默認(rèn)設(shè)置和密碼

5、確保保護(hù)ATM機(jī)的反病毒解決方案或軟件是最新的

雷鋒網(wǎng)按：本文來(lái)自360安全衛(wèi)士（企業(yè)號(hào)），F(xiàn)reeBuf黑客與極客（FreeBuf.COM）發(fā)布雷鋒網(wǎng)，轉(zhuǎn)載請(qǐng)保留出處和作者，不得刪減內(nèi)容。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。