離開
進入駭客入侵一銀倫敦分行 趁ATM軟體更新植入吐鈔程式
圖為遭盜領的第一銀行古亭分行。(資料照,記者羅沛德攝)
〔記者陳慰慈/新北報導〕調查局新北市調處偵辦第一銀ATM遭跨國犯罪集團植入木馬吐鈔案,專案人員解析一銀電腦及ATM硬碟後發現,案發期間一銀英國倫敦分行電話錄音主機與台灣ATM曾有異常連線,懷疑該主機可能是入侵一銀內部網路的端點,並於7月4日ATM進行軟體更新時,入侵派送軟體開啟ATM遠端控制服務,9日駭客再以遠端登入,植入惡意程式,監控車手取款。
一銀倫敦分行電話錄音主機恐是入侵端點
此外,專案人員還發現,遭駭ATM被植入的惡意程式,是少見指定僅7月份執行才有效,之前或之後下指令也無用,指令可決定何時打開ATM吐鈔夾、選定哪個鈔票夾吐錢、吐完再換另一鈔票夾。不過調查局清查發現,駭客攻擊不是每次都成功,仍有5台ATM提款機曾被鎖定,但盜領失敗。
新北市調處今以證人約談倫敦分行資訊部門主管、一銀資訊處主管及ATM廠商德利多富內部調查員3人到案,以了解網路異常原因,3人訊後請回,預計明至台北地檢署複訊。
一、發現一銀倫敦分行有一電話錄音伺服器主機透由內部網路與臺灣ATM機器曾經異常連線,該主機可能為入侵一銀內部網路之端點。 二、一銀ATM機器程式更新係經由其內部派送主機提供更新程式,自動派送至各ATM機器,派送更新程式過程於7月4日遭入侵者仿冒派送軟體並開啟該ATM遠端控制服務(TELNET SERVICE),至7月9日入侵者再以遠端登入,上傳ATM操控程式(外界所指惡意程式),執行測試吐鈔開關夾,經車手回報測試成功且就定位後,國外操控者由網路遠端執行吐鈔,完成盜領後,再將隱藏控制程式、紀錄檔、執行檔全部清除,並將遠端連線服務由自動變更手動,目前發現被刪除之程式係存放於C:\install或C:\Documents and Setting\Administrator\。 三、經專案小組反組譯後,在cngdisp.exe程式中發現有一段程式碼,設定電腦執行該程式之日期為2016年7月,之前及之後均無法執行。 四、7月16日一銀經由網路分析發現,除41台ATM機器遭盜領外,另有3台ATM曾有主動連線至倫敦一銀主機紀錄,且有2台ATM機器在監控影片中發現車手曾出現,卻未進行盜領,本局已一併查扣上開ATM硬碟進行鑑識。 五、7月16日凌晨一銀總行要求倫敦分行送回疑遭駭客借徑之電腦設備,包含一部該行電話錄音主機之二顆硬碟(互為備援)及一部個人電腦用硬碟,本局已依法查扣並進行鑑識中。 為釐清ATM機器遭入侵、操控原因,本局專案小組盡全力對數位資料進行鑑識,期及早釐清全貌,提供各界參考。新北市調處調查一銀案網路入侵情形如下:
相關影音
