臺灣第一銀行ATM機“自動吐錢”事件分析

2016年7月中，我國臺灣地區的臺灣第一銀行旗下20多家分行的41臺ATM機遭遇黑客攻擊，被盜8327餘萬新臺幣，目前該案已經破獲，抓獲犯罪嫌疑人並追回大部分被盜款項。360追日團隊對這起針對ATM機的黑客攻擊盜竊事件進行了分析，還原了整個事件的過程，分析了黑客攻擊手法和過程，並據此提供了安全建議。

事件過程

臺灣第一金控旗下第一銀行（First Bank）是我國臺灣地區（以下簡稱臺灣）的一所大型商業銀行，該行於6月初推出無卡提款服務。（以下部分內容摘自臺灣媒體的公開報導）

2016年7月11日，臺灣警方接到市民報案，表示看到有人在操作ATM時，行為怪異，隨即ATM有不明吐鈔情況。

2016年7月12日，第一銀行釋出公告《第一銀行ATM遭異常盜領客戶權益不受影響》表示“第一銀行部分分行ATM提款機遭異常盜領，作案過程約5~10分鐘，交易集中在7月9日和7月10日，目前本案共計遭盜取的金額約7000多萬新臺幣，20家分行共34臺ATM發生異常，目前已緊急報警處理。初步瞭解可能遭植入惡意軟體驅動吐鈔模組執行吐鈔，都是德利多富（Wincor）公司的同一機型（pro cash1500機型），目前該款機型已全面暫停服務。”德利多富（Wincor）的產品涉及銀行業及零售業，在銀行業包括現金類自助裝置和非現金類自助服務終端及其解決方案，代表硬體產品如自動取款機、存取款一體機、多媒體服務終端、存摺印表機等；業務遍及130多個國家和地區。而在這起臺灣劫案中，被歹徒攻擊的ATM其實是老舊機型，在ebay拍賣網站上只要1475美元就能買到。

後經第一銀行清算核實，全臺共有41臺ATM遭到盜領，被盜金額8327餘萬元。這是臺灣首宗銀行遭跨境黑客盜領案。

2016年7月17日，臺灣警方通報稱，通過調取監控錄影等手段，鎖定該案16名嫌犯及1名關係人均來自境外，其中13人已離臺，並於17日在宜蘭抓獲主犯拉脫維亞籍男子安德魯，當晚又在臺北抓獲羅馬尼亞籍和摩爾多瓦籍共犯各一人，追回贓款6050萬元。經查，這夥嫌犯自7月6日起以觀光名義分批從土耳其、中國香港等地進入臺灣，9日至11日分別到臺北市、新北市、臺中市等地，以1人至3人為一組，利用木馬程式入侵第一銀行ATM，然後通過通訊軟體遠端遙控ATM自動吐錢，其餘同夥則負責領錢、把風。犯案後，13名嫌犯迅速離臺。已追回的6050萬現鈔，被存放在臺北車站，嫌犯通過“情報祕密傳遞點”（dead drop）的方式將部分現金以“行李箱寄放”的方式存放。17日晚間，臺灣當局“警政署長”陳國恩表示，跨境黑客入侵各地的ATM，滲透超過100家銀行，至少有30個國家及地區受害，竊取的金額，大約已有3億美金，且迄今懸案未破。

2016年7月18日，臺灣《聯合報》報導稱，調查局新北市調處安全人員查出有惡意程式通過一銀英國倫敦分行，侵入臺灣總行。警方已約談第一銀行倫敦分行資訊主管、第一銀行臺灣資訊部門負責人及ATM廠商總部代表等3人，為查清是否有內鬼參與盜領案。在當晚10點召開的記者會上，新北市調查局指出，第一銀行的ATM機器程式更新，是由內部下發主機、伺服器自動下發到各ATM。7月4日，入侵者仿冒更新軟體並下發至第一銀行各ATM，開啟ATM遠端控制服務(Telnet Service)。直到7月9日入侵者再遠端登入，上傳ATM操控程式後，執行測試吐鈔開關，經“錢騾”測試成功後，藏身在海外的幕後操控者，就開始大規模遠端遙控進行吐鈔，由各就各位的“錢騾”領取贓款。完成盜領後，遠端操控者再將隱藏控制程式、紀錄文件、執行文件全部清除。調查人員同時給出了第一銀行被攻擊的流程圖，具體如下：

辦案人員同時查出，對第一銀行ATM下達吐鈔指令的惡意程式，竟來自第一銀行英國倫敦分行電腦主機和2個儲存電話錄音的硬碟，其中一個已經損毀。初步判斷，犯罪集團先黑入錄音硬碟，取得電腦主機的最高許可權，接著在ATM硬碟內植入惡意程式，再派出外籍嫌犯入境臺灣盜領現金。調查人員懷疑，盜領集團很可能在倫敦還有其他共犯，也不排除是第一銀行內鬼所為的可能。

2016年7月20日，臺北市警方證實，已在內湖山區找到1263萬現金。安德魯14日晚上按照指示到達西湖公園，但他等了一天也無人來取款，因此就將這些現金藏在垃圾堆中。臺北警方通過復原安德魯的行動軌跡，最終找到了這些現金。一名晨練老人在西湖公園附近停車場撿到裝有454萬1200元的電腦包，他將這些錢撿回家，晚間向警方報案。截止到21日，除去疑犯的生活開銷，仍有約586萬贓款下落不明。

事件分析

7月12日晚間，新北市有關調查部門公佈了本次攻擊第一銀行的惡意程式碼相關資訊：檔名、MD5 和功能簡述。其中sdelete.exe程式是微軟提供的正常可信程式。

在對相關攻擊事件的分析中，360追日團隊發現攻擊者並沒有使用銀行卡和對ATM操作等，無需物理接觸ATM，則能實現ATM吐鈔達到取現的目的。這點攻擊現象引起了我們的注意，以往攻擊ATM的事件並不少見，但能達到不進行物理接觸而使得ATM吐鈔，是比較少見的，儘管多年前已有研究人員提出並驗證了這一理論。

2010年7月28日，Black Hat大會上，當時任職於IOActive的Barnaby Jack展示了他多年來對ATM機程式程式碼的研究成果， 成功演示入侵安裝有兩種不同系統的ATM取款機並當場讓ATM取款機吐出錢，他稱之為“jackpotting”。在現場，他用了兩種方法令ATM機吐鈔票，一種需要物理接觸ATM，而另一種則完全在遠端執行自動攻擊 。兩種方法均需要惡意軟體感染機器系統，用以執行攻擊者的虛假指令。具體方法如下：

• 物理接觸攻擊：攻擊者充分利用對目標機器的使用權，插入特製的U盤，然後利用惡意軟體控制網路並命令機器吐錢。
• 遠端攻擊：攻擊者利用遠端管理系統的漏洞，安裝惡意軟體，大多數情況下是利用遠端管理系統的預設管理員密碼、賬戶PIN碼和TCP埠。然後執行惡意軟體，ATM會吐出一定數額的現金。

這個現象使我們聯想到之前發現的Anunak（即Carbanak）攻擊組織，該組織在攻擊ATM時也可以達到同樣的效果，進一步我們通過分析Anunak（即Carbanak）和臺灣第一銀行事件進行對比，發現二者之間有較多相似的地方，具體如下表所示：

關於Anunak（即Carbanak）

Anunak（即Carbanak）攻擊組織，是一個跨國網路犯罪團伙。2013年起，該犯罪團伙總計向全球約30個國家和地區的100家銀行、電子支付系統和其他金融機構發動了攻擊，目前相關攻擊活動還很活躍。在《2015年中國高階持續性威脅（APT）研究報告》中我們提到了Anunak，通過研究分析該組織相關攻擊手法和意圖，我們將該組織視為針對金融行業的犯罪型APT組織。

Anunak組織一般通過社會工程學、漏洞利用等方式攻擊金融機構員工的計算機，進而入侵銀行網路。進一步攻擊者通過內部網路，對計算機進行視訊監控，檢視和記錄負責資金轉賬系統的銀行員工的螢幕。通過這種方式，攻擊者可以瞭解到銀行職工工作的全部詳情，從而模仿銀行職工的行為，盜取資金和現金。

另外該組織還可以控制、操作銀行的ATM機，命令這些機器在指定的時間吐出現金。當到支付時間時，該組織會派人在ATM機旁邊等待，以取走機器“主動”吐出的現金。

針對ATM的威脅

一、傳統威脅

這裡所述的傳統威脅，主要指不利用網路攻擊的情況。如下圖所示，針對ATM的傳統威脅主要分為這些方面。

1、 卡複製是ATM安全的主要問題

通過卡複製裝置竊取卡號等資訊的ATM犯罪由來已久，在全球範圍內，每年由於卡複製造成的經濟損失達24億美元。犯罪份子常見的手段是在ATM機上安裝非法裝置從而讀取磁條資訊。

2、 軟體攻擊和外部破壞呈增加趨勢

針對ATM的軟體攻擊包括邏輯攻擊、黑盒子資料攻擊等。ATM普遍採用Windows開放平臺，犯罪份子通過CD-ROM或USB便可輕易將惡意軟體上傳至ATM中，從而離線控制出鈔命令，造成巨大的現金風險。其他作案方式還包括，犯罪份子撬開ATM上的箱體櫃門，使用一臺電子裝置取代ATM的工控機，連結到ATM的現金出鈔模組，然後通過向現金出鈔模組傳送非授權命令，控制ATM出鈔。Times of Frauds調查顯示，自2013年以來，在全球範圍內，針對ATM的邏輯攻擊案件正在快速上升和蔓延。根據NCR Secure Fraud Net的統計資料，在過去的幾年內，全球ATM案件中物理攻擊型別增加了429%

二、利用網路攻擊

1、惡意程式

在針對ATM的網路攻擊中，主要是利用惡意程式進行後續攻擊，其中如何植入惡意程式碼是一個關鍵。首先可以通過入侵銀行內部網路，獲得ATM內部網路許可權進一步安裝植入，另外就是直接通過對ATM本身進行操作，如從光碟機、USB等入口進行攻擊。相關惡意程式攻擊的目的基本都是使ATM在攻擊者的控制下進行吐鈔，而有些惡意程式也具備收集銀行卡等資料資訊。

2、資訊竊取

一般是攻擊者通過直接攻擊銀行等金融機構本身，或者採用其他途徑來獲得持卡人的資訊（如：姓名、卡號、身份證號等）。在今年發生的南非標準銀行（Standard Bank）資料洩露導致日本1400臺ATM遭盜提14.4億是一個典型案例。

來自媒體的報導顯示，2016年5月15日，有網路犯罪團伙南非標準銀行（Standard Bank）的洩露的資料製造偽信用卡，從日本1400臺便利店ATM機處取現14.4億日元，由於這些便利店的安保措施不夠，而且這些ATM機可以接受國外信用卡，從而讓犯罪分子得逞。

警方披露的資訊顯示，黑客的行動明顯經過周密的安排，在5月15日清晨，分佈在日本16個區縣的約100名嫌疑人，在兩小時內一共操作了14000次取現指令，涉及1600張信用卡，其中額度最高的一次取現操作達到913美元。

南非標準銀行已經表示將承擔本次黑客行為所造成的全部資金損失，持卡人將不會被追繳還款費用，這次資訊洩露事件已為標準銀行帶來1925萬美元的損失，未來可能進一步增加。

3、攻擊的目標

從針對ATM的傳統威脅來看，基本目標都是針對持卡人，最終導致持卡人自己賬戶上的財產被竊取。在針對ATM的網路攻擊中，一般以資訊竊取的網路攻擊，最終目標還是為了攻擊持卡人本身，如通過相關資訊進行銀行卡複製導致金錢竊取。另一種則是針對銀行本身的攻擊，直接從ATM中盜取金錢，如本次臺灣第一銀行事件、Anunak攻擊相關銀行事件。

我們也發現在針對金融行業的網路犯罪活動開始進化，進入一個全新的階段，惡意攻擊者從針對一般持卡人或普通使用者逐漸轉向瞄準銀行等金融機構本身，目的是直接竊取銀行本身的財產。

針對銀行系統的其他威脅

在針對金融機構本身，尤其是銀行業的攻擊中，除了針對ATM，還會針對銀行SWIFT系統，2016年2月孟加拉國央行被黑客攻擊導致8100萬美元被竊取的事件被曝光後，如越南先鋒銀行、厄瓜多銀行等，針對銀行SWIFT系統的其他網路攻擊事件逐一被公開。

在相關事件曝光後，我們從對相關攻擊事件的戰術層面和技術層面的深入分析，我們認為近期曝光的這4起針對銀行的攻擊事件並非孤立的，而很有可能是由一個組織或多個組織協同發動的不同攻擊行動。

另外Anunak組織的相關攻擊行動中也有針對銀行SWIFT系統進行攻擊，但我們對其攻擊手法等分析，發現其幕後組織和攻擊孟加拉國央行應該不是一個組織。

關於SWIFT

SWIFT全稱是Society for Worldwide Interbank Financial Telecommunication，中文名是“環球同業銀行金融電信協會”。1973年5月，由美國、加拿大和歐洲的—些大銀行正式成立SWIFT組織，其總部設在比利時的布魯塞爾，它是為了解決各國金融通訊不能適應國際間支付清算的快速增長而設立的非盈利性組織，負責設計、建立和管理SWIFT國際網路，以便在該組織成員間進行國際金融資訊的傳輸和確定路由。

總結

通過深入跟進、分析臺灣第一銀行事件、孟加拉國央行等事件，我們發現針對金融行業的網路攻擊已經開始進化，攻擊者的目標不在限於普通終端使用者，而逐漸瞄準金融機構本身。

另外這幾次針對銀行等金融機構的攻擊幕後或者其攻擊手法都是APT組織或者利用了APT攻擊方法，這說明APT組織開始進行鍼對商業的攻擊，而且會使用APT方法來進行商業類攻擊。

從今年上半年的金融行業安全事件來看，銀行等金融相關行業本身暴露出諸多安全問題。隨著調查的不斷深入，臺灣第一銀行遭受攻擊的流程已經逐漸清晰，但仍有諸多細節目前還未有公開解釋。但無論是相關人員工作疏忽遭受黑客攻擊或是有內部人協助攻擊者，攻擊者通過倫敦分行電話錄音主機進而入侵在臺的ATM機將惡意程式植入，下指令吐鈔，每一個環節都與金融安全密切相關。臺灣ATM盜領案雖已追回大部分贓款並逮捕部分嫌犯，但是不容忽視的是第一銀行的系統體系存在嚴重的安全問題。

關於ATM的一些安全建議：

1、 升級作業系統

2、 提供儘可能完備的物理保護並安裝監控

3、 鎖定BIOS，防止來自未經授權媒介的啟動，如可引導光碟或U盤

4、 重置ATM機所有的鎖和主密碼，棄用機器自帶的預設設定和密碼

5、 確保保護ATM機的反病毒解決方案或軟體是最新的