震撼全臺的一銀ATM盜領案,第一時間協助數位鑑識的刑事警察局科技研發科數位證據股股長陳詰昌,在臺灣駭客年會上指出,一銀駭客的犯案手法、程式特徵,與國際ATM駭客集團高度類似。而且他也透露駭客竊取密碼,得以在銀行內網來去自如的2個關鍵方法。
iThome 文/沈庭安 | 2016-12-05發表
今年七月份第一銀行爆發ATM盜領案,跨國網路犯罪集團的駭客鎖定臺灣的41臺ATM,並執行遠端遙控吐鈔,第一銀行在短短幾個小時內被盜領8千3百多萬元臺幣。第一時間協助鑑識分析的刑事警察局第九大隊,其科技研發科數位證據股股長陳詰昌,在臺灣駭客年會HITCON Pacific上報告了偵查的過程,剖析事件前後的日誌檔(Log Analysis)、逆向工程(Reverse Engineering)以及數位鑑識(Digital Forensics)的結果。更重要的是,第九大隊比對了資安研究公司Group-IB所釋出的國際ATM駭客集團的報告,發現一銀駭客的手法與Buhtrap、Cobalt駭客集團在歐洲和亞洲的犯案手法高度類似。陳詰昌更透露,駭客能夠在銀行內網來去自如,就是因為2個取得帳密的關鍵方法。
第一銀行的ATM盜領事件發生後,臺灣在短短10天內就宣布破案,逮捕3名在臺的外籍洗錢嫌犯後,也順利追回大部分款項。臺北地方法院檢察官9月13日公布的起訴書指出,駭客如何將第一銀行在倫敦分行的電話錄音主機做為跳板,駭入內網後,更一路建立具有管理權限的帳號,將33個DMS封裝檔檔案利用應用程式惡意程式派送到受駭的ATM設備。並且,因為管理者帳號已經提高到具有Telnet連網權限,之後便啟動FTP功能,到NCR下載惡意程式「cnginfo.exe」、「cngdisp.exe」、「cngdisp_new.exe」和批次檔「cleanup.bat」,並且在犯案後,執行「cleanup.bat」把犯案記錄「displog.txt」清除,徹底滅證。
而陳詰昌指出,在2015年8月到今年2月份,成功犯下13起銀行內網攻擊的俄羅斯集團Buhtrap,在部分成員遭到逮捕後,該組織部分的核心成員另組成Cobalt集團。Cobalt集團將攻擊版圖擴展到歐洲與亞洲,包含英國、荷蘭以及馬來西亞等14個國家的ATM系統。2個駭客集團的犯案手法相似,不過Cobalt集團在歐洲主要針對NCR主機進行攻擊。陳詰昌表示,經過比對資安研究公司Group-IB所釋出對上述2集團的研究報告後,發現這2個國際集團的犯罪手法與一銀盜領案的駭客手法十分雷同。
首先, 犯案的程式特徵都有限定日期。iThome曾報導一銀ATM盜領惡意程式會指定在7月發作,逾期就會失效,對惡意程式來說,限定日期發作的功能很少見,在一銀ATM盜領案中發現的4支惡意程式,都只在今年7月份執行才有效。而Cobalt集團集團則是限定在5月份。
再則,吐鈔程式設定的參數也十分類似,包括鈔匣數限制、出鈔張數限制,其參數設定幾乎相同。
