ATM机“主动吐钱”:台湾首宗银行跨境黑客盗领案终究是怎样发作的?

(记录 分享 博亿堂官网首页)的点点滴滴

雷锋网按:不但仅是台湾首宗银行遭跨境黑客盗领案,跨境黑客入侵各地的ATM,渗透跨越100家银行,至少有30个国度及地区受益,盗取的金额,约莫已有3亿美金,且迄今悬案未破。那么,黑客终究是怎样打击的?本文试图复原整个事变进程,作者系360追日团队。

| 媒介

2016年7月中,我国台湾地区的台湾第一银行旗下20多家分行的41台ATM机遭遇黑客打击,被盗8327余万新台币,如今该案曾经破获,抓获犯罪怀疑人并追回大部分被盗款项。360追日团队对这起针对ATM机的黑客打击盗窃事变中断了分析,复原了整个事变的进程,分析了黑客打击伎俩和进程,并据此提供了安全发起。

| 事变进程

台湾第一金控旗下第一银行(First Bank)是我国台湾地区(以下简称台湾)的一所大型贸易银行,该行于6月初推出无卡提款效力。(以下部分外容摘自台湾媒体的地下报道)

2016年7月11日:

台湾警方接到市民报案,表现看到有人在操纵ATM时,举动独特,随即ATM有不明吐钞情况。

2016年7月12日:

第一银行发布告示《第一银行ATM遭十分盗领客户权柄不受影响》表现“第一银行部分分行ATM提款机遭十分盗领,作案进程约5~10分钟,交易会合在7月9日和7月10日,如今本案合计遭偷取的金额约7000多万新台币,20家分行共34台ATM发作十分,如今已告急报警处理。末尾理解可以遭植入恶意软件驱动吐钞模块实行吐钞,都是德利多富(Wincor)公司的分歧机型(pro cash1500机型),如今该款机型已片面停息效力。”德利多富(Wincor)的产品触及银行业及批发业,在银行业包括现金类自助配置和非现金类自助效力终端及其处理方案,代表硬件产品如主动取款机、存取款一体机、多媒体效力终端、存折打印机等;业务遍及130多个国度和地区。而在这起台湾劫案中,被歹徒打击的ATM真实是老旧机型,在ebay拍卖网站上只需1475美元就能买到。

后经第一银行整理核实,全台共有41台ATM遭到盗领,被盗金额8327余万元。这是台湾首宗银行遭跨境黑客盗领案。

2016年7月17日:

台湾警方转达称,经过调取监控录像等伎俩,锁定该案16名嫌犯及1名干系人均来自境外,此中13人已离台,并于17日在宜兰抓获正犯拉脱维亚籍男子安德鲁,当晚又在台北抓获罗马尼亚籍和摩尔多瓦籍共犯各一人,追回赃款6050万元。经查,这伙嫌犯自7月6日起以旅游名义分批从土耳其、中国香港等地进入台湾,9日至11日辨别到台北市、新北市、台中市等地,以1人至3人为一组,使用木马次序入侵第一银行ATM,然后经过通讯软件远程遥控ATM主动吐钱,其他朋友则担任领钱、把风。犯案后,13名嫌犯敏捷离台。已追回的6050万现钞,被寄存在台北车站,嫌犯经过“谍报机密转达点”(dead drop)的方法将部分现金以“行李箱寄存”的方法寄存。17日晚间,台湾当局“警政署长”陈国恩表现,跨境黑客入侵各地的ATM,渗透跨越100家银行,至少有30个国度及地区受益,盗取的金额,约莫已有3亿美金,且迄今悬案未破。

2016年7月18日:

台湾《结合报》报道称,察看局新北市调停安全职员查出有恶意次序经过一银英国伦敦分行,侵入台湾总行。警方已约谈第一银行伦敦分行信息主管、第一银行台湾信息部分担任人及ATM厂商总部代表等3人,为查清能否有内鬼参加盗领案。在当晚10点召开的记者会上,新北市察看局指出,第一银行的ATM板滞次序更新,是由外部属发主机、效力器主动下发到各ATM。7月4日,入侵者仿冒更新软件并下发至第一银行各ATM,开启ATM远程控制效力(Telnet Service)。直到7月9日入侵者再远程登录,上传ATM操控次序后,实行测试吐钞开关,经“钱骡”测试告成后,驻足在海外的幕后操控者,就末尾大范围远程遥控中断吐钞,由各就各位的“钱骡”支付赃款。完成盗领后,远程操控者再将隐蔽控制次序、记录文档、实行文档全部清除。察看职员同时给出了第一银行被打击的流程图,详细如下:

办案职员同时查出,对第一银行ATM下达吐钞指令的恶意次序,竟来自第一银行英国伦敦分行电脑主机和2个存储德律风灌音的硬盘,此中一个曾经损毁。末尾判别,犯罪集团先黑入灌音硬盘,获得电脑主机的最高权限,接着在ATM硬盘内植入恶意次序,再派出外籍嫌犯出境台湾盗领现金。察看职员狐疑,盗领集团很可以在伦敦另有其他共犯,也不打扫是第一银行内鬼所为的可以。

2016年7月20日:

台北市警方证明,已在内湖山区找到1263万现金。安德鲁14日早晨按照指示抵达西湖公园,但他等了一天也无人来取款,因此就将这些现金藏在渣滓堆中。台北警方经过规复安德鲁的举动轨迹,终极找到了这些现金。一名晨练老人在西湖公园附近停车场捡到装有454万1200元的电脑包,他将这些钱捡回家,晚间向警方报案。中断到21日,撤除疑犯的生活开支,仍有约586万赃款下落不明。

| 事变分析

7月12日晚间,新北市有关察看部分发布了本次打击第一银行的恶意代码相干信息:文件名、MD5 和服从简述。此中sdelete.exe次序是微软提供的正常可信次序。

在对相干打击事变的分析中,360追日团队发明打击者并没有运用银行卡和对ATM操纵等,无需物理打仗ATM,则能完成ATM吐钞抵达取现的目标。这点打击景象惹起了我们的留意,以往打击ATM的事变并不少见,但能抵达不中断物理打仗而使得ATM吐钞,是比较少见的,固然多年前已有研讨职员提出并验证了这一实际。

2010年7月28日,Black Hat大会上,事前任职于IOActive的Barnaby Jack展现了他多年来对ATM机程式代码的研讨结果, 告成演示入侵安装有两种差别零碎的ATM取款机并当场让ATM取款机吐出钱,他称之为“jackpotting”。在现场,他用了两种方规律ATM机吐钞票,一种需求物理打仗ATM,而另一种则完全在远程实行主动打击 。两种办法均需求恶意软件熏染板滞零碎,用以实行打击者的虚假指令。详细办法如下:

l物理打仗打击:打击者充分使用对目标板滞的运用权,拔出特制的U盘,然后使用恶意软件控制网络并下令板滞吐钱。

l远程打击:打击者使用远程办理零碎的漏洞,安装恶意软件,大少数情况下是使用远程办理零碎的默许办理员暗码、账户PIN码和TCP端口。然后实行恶意软件,ATM会吐出一定数额的现金。

这个景象使我们遐想到之前发明的Anunak(即Carbanak)打击构造,该构造在打击ATM时也可以抵达异样的结果,进一步我们经过分析Anunak(即Carbanak)和台湾第一银行事变中断对比,发明二者之间有较多类似的中央,详细如下表所示:

关于Anunak(即Carbanak):

Anunak(即Carbanak)打击构造,是一个跨国网络犯罪团伙。2013年起,该犯罪团伙总计向环球约30个国度和地区的100家银行、电子支付零碎和其他金融机构发起了打击,如今相干打击活动还很活泼。在《2015年中国初级持续性要挟(APT)研讨报告》中我们提到了Anunak,经过研讨分析该构造相干打击伎俩和意图,我们将该构造视为针对金融行业的犯罪型APT构造。

Anunak构造普统统过社会工程学、漏洞使用等方法打击金融机构员工的谋略机,进而入侵银行网络。进一步打击者经过外部网络,对谋略机中断视频监控,反省和记录担任资金转账零碎的银行员工的屏幕。经过这种方法,打击者可以理解到银行职工任务的全部概况,从而模仿银行职工的举动,偷取资金和现金。

别的该构造还可以控制、操纵银行的ATM机,下令这些板滞在指定的工夫吐呈现金。当到支付工夫时,该构造会派人在ATM机阁上等待,以取走板滞“主动”吐出的现金。

针对ATM的要挟

  • 传统要挟

这里所述的传统要挟,主要指倒运用网络打击的情况。如下图所示,针对ATM的传统要挟主要分为这些方面。

1、卡复制是ATM安全的主要题目

经过卡复制安装盗取卡号等信息的ATM犯罪由来已久,在环球范畴内,每年由于卡复制形成的经济丧失达24亿美元。犯罪份子罕见的伎俩是在ATM机上安装合法配置从而读取磁条信息。

2、软件打击和外部毁坏呈添加趋势

针对ATM的软件打击包括逻辑打击、黑盒子数据打击等。ATM广泛采取Windows开放平台,犯罪份子经过CD-ROM或USB便可随意将恶意软件上传至ATM中,从而离线控制出钞下令,形成宏大的现金危害。其他作案方法还包括,犯罪份子撬开ATM上的箱体柜门,运用一台电子配置代替ATM的工控机,链接到ATM的现金出钞模块,然后经过向现金出钞模块发送非授权下令,控制ATM出钞。Times of Frauds察看表现,自2013年以来,在环球范畴内,针对ATM的逻辑打击案件正在快速上升和伸张。根据NCR Secure Fraud Net的统计数据,在过去的几年内,环球ATM案件中物理打击范例添加了429%

使用网络打击

1、恶意次序

在针对ATM的网络打击中,主要是使用恶意次序中断后续打击,此中怎样植入恶意代码是一个关键。起首可以经过入侵银行外部网络,获得ATM外部网络权限进一步安装植入,别的便是直接经过对ATM本身中断操纵,如从光驱、USB等入口中断打击。相干恶意次序打击的目标根本都是使ATM在打击者的控制下中断吐钞,而有些恶意次序也具有搜集银行卡等数据信息。

2、信息盗取

普通是打击者经过直接打击银行等金融机构本身,或许采取其他途径来获得持卡人的信息(如:姓名、卡号、身份证号等)。在今年发作的南非标准银行(Standard Bank)数据泄漏招致日本1400台ATM遭盗提14.4亿是一个典范案例。

来自媒体的报道表现,2016年5月15日,有网络犯罪团伙南非标准银行(Standard Bank)的泄漏的数据制造伪信誉卡,从日本1400台便当店ATM机处取现14.4亿日元,由于这些便当店的安保步伐不够,并且这些ATM机可以承受外洋信誉卡,从而让犯罪分子未遂。

警方表露的信息表现,黑客的举动分明颠末缜密的摆设,在5月15日朝晨,分布在日本16个区县的约100名怀疑人,在两小时内一共操纵了14000次取现指令,触及1600张信誉卡,此中额度最高的一次取现操纵抵达913美元。

南非标准银行曾经表现将承担本次黑客举动所形成的全部资金丧失,持卡人将不会被追缴还款用度,这次信息泄漏事变已为标准银行带来1925万美元的丧失,将来可以进一步添加。

3、打击的目标

从针对ATM的传统要挟来看,根本目标都是针对持卡人,终极招致持卡人自己账户上的财产被盗取。在针对ATM的网络打击中,普通以信息盗取的网络打击,终极目标还是为了打击持卡人本身,如经过相干信息中断银行卡复制招致款项盗取。另一种则是针对银行本身的打击,直接从ATM中偷取款项,如本次台湾第一银行事变、Anunak打击相干银行事变。

我们也发明在针对金融行业的网络犯罪活动末尾退化,进入一个全新的阶段,恶意打击者从针对普通持卡人或平凡用户逐步转向对准银行等金融机构本身,目标是直接盗取银行本身的财产。

针对银行零碎的其他要挟

在针对金融机构本身,尤其是银行业的打击中,除了针对ATM,还会针对银行SWIFT零碎,2016年2月孟加拉国央行被黑客打击招致8100万美元被盗取的事变被曝光后,如越南前锋银行、厄瓜多尔银行等,针对银行SWIFT零碎的其他网络打击事变逐一被地下。

在相干事变曝光后,我们从对相干打击事变的战术层面和技艺层面的深化分析,我们以为近期曝光的这4起针对银行的打击事变并非孤独的,而很有可以是由一个构造或多个构造协同发起的差别打击举动。

别的Anunak构造的相干打击举动中也有针对银行SWIFT零碎中断打击,但我们对其打击伎俩平分析,发明其幕后构造和打击孟加拉国央行应该不是一个构造。

关于SWIFT:

SWIFT全称是Society for Worldwide Interbank Financial Telecommunication,中文名是“环球同行银行金融电信协会”。1973年5月,由美国、加拿大和欧洲的—些大银行正式树立SWIFT构造,其总部设在比利时的布鲁塞尔,它是为了处理各国金融通讯不克不及适应国际间支付整理的快速增长而设立的非红利性构造,担任设计、树立和办理SWIFT国际网络,以便在该构形成员间中断国际金融信息的传输和确定路由。

总结

经过深化跟进、分析台湾第一银行事变、孟加拉国央行等事变,我们发明针对金融行业的网络打击曾经末尾退化,打击者的目标不在限于平凡终端用户,而逐步对准金融机构本身。

别的这反复针对银行等金融机构的打击幕后或许其打击伎俩都是APT构造或许使用了APT打击办法,这阐明APT构造末尾中断针对贸易的打击,并且会运用APT办法来中断贸易类打击。

从今年上半年的金融行业安全事变来看,银行等金融相干行业本身表表现诸多安全题目。随着察看的时时深化,台湾第一银行蒙受打击的流程曾经逐步明晰,但仍有诸多细节如今还未有地下表明。但无论是相干职员任务忽略蒙受黑客打击或是有外部人帮忙打击者,打击者经过伦敦分行德律风灌音主机进而入侵在台的ATM机将恶意次序植入,下指令吐钞,每一个关键都与金融安全密切相干。台湾ATM盗领案虽已追回大部分赃款并拘捕部分嫌犯,但是不容漠视的是第一银行的零碎体系存在严峻的安全题目。

关于ATM的一些安全发起:

1、晋级操纵零碎

2、提供尽可以齐备的物理维护并安装监控

3、锁定BIOS,避免来自未经授权媒介的启动,如可引导光盘或U盘

4、重置ATM机统统的锁和主暗码,弃用板滞自带的默许设置和暗码

5、确保维护ATM机的反病毒处理方案或软件是最新的

雷锋网按:本文来自360安全卫士(企业号),FreeBuf黑客与极客(FreeBuf.COM)发布雷锋网(搜刮“雷锋网”群众号存眷),转载请保存来由和作者,不得删减内容。

(看完/读完)这篇文章有何感想! 来看看博亿堂官网首页是怎么评论的吧!

发表评论

电子邮件地址不会被公开。 必填项已用*标注