是WIN XP漏洞造成一銀ATM吐鈔的嗎?
一銀41台提款機ATM,中毒後變成吐鈔機。短短兩天,被俄羅斯人、拉脫維亞等嫌犯提領8327萬元,震撼台灣社會。
新北市調查局資安三科科長林政賢指出,目前警方已公布找到3支惡意程式,一支惡意指令檔。根據監視錄影,嫌犯在提款機前,沒有插卡、沒有按鍵,也沒有使用電話,所以判斷是從遠端操控這4支惡意程式。每一台提款機就是一台個人電腦,只是有連回銀行總機。
目前偵查的重點是,惡意程式如何操控觸發?
惡意程式如何被植入到這41台ATM中?
這個型號的ATM是否已經遭到破解?「我們有證據才能講,目前各種可能都不排除,」林政賢指出。
而至今究竟還有哪些裝置仍舊停留在Windows XP的階段,遲遲沒有更新呢?若以2014年4月8日這一天作為統計參考日,在微軟中止對Windows XP的支援後,全球仍有約3億台電腦仍在使用Windows XP,這些設備中除了操控供水供電、污水處理的電腦外,大多數都是銀行ATM。這夠恐怖了吧!
雖然微軟不再主動為Windows XP提供安全更新後,仍有第三方服務能夠提供類似協助。但是這些替代方案充其量只能亡羊補牢,也就是問題發生之後才提供安全修補程式,對於電腦本身的安全性來說,仍是不足。這一回一銀盜領事件就是一個例子。
不過,早在2014年下半年,這次被植入一銀ATM的惡意程式─丘普金,就已被發現被不肖人士利用來攻擊ATM,也就是說「丘普金」已經是個被辨識出來、可攻擊Windows XP的惡意程式。這不禁讓人對為何一銀以及他們可能有簽約的第三方資安服務廠商沒能提早針對這類惡意程式作好足夠防禦措施感到納悶
一銀過半提款機短期難正常運作
由於不排除是型號被破解,第一銀行發言人葉仲惠直言,438台,一銀過半的自動提款機,短期內仍無法恢復使用。一銀正進行全面資安診斷。
由於情況不明,銀行界人心惶惶。「我們寧願希望這次是內鬼,這樣問題最單純,」一位金融業資訊主管指出。
他指出,為了防堵資安漏洞,一銀數周前對該型號ATM做軟體升級,卻旋即遭受惡意攻擊。「我不認為,這表示台灣銀行資安很差,而是台灣遇到一些能力很強的人攻擊,」這位曾經是駭客的資訊主管說,台灣、新加坡、香港都具有交通便利,提款機密度高、出入境便利的特點,很容易進行ATM犯罪。
到底惡意程式是如何植入?這位資訊主管推測,早在2000年大型駭客會議裡,駭客就已經展示透過USB,將惡意程式透過提款機插槽植入的做法。因為太有名,自動提款機公司照理講應該已經防堵這個漏洞。
另一種曾經出現的駭客手法是,透過金融卡晶片。駭客可以將惡意程式寫入晶片中,一旦把卡片插入提款機,程式就可以控制提款機。但這個方法的壞處是,惡意程式一旦控制了ATM,這台機器就會與銀行主機失聯。一旦失聯,銀行中心就會知道。所以這次的犯罪手法也非如此。
銀行內網中毒,將惡意程式植入ATM?
他指出,除了內賊,另一種直接的方式,就是透過銀行網路將病毒植入這個型號的ATM中。
案發前,第一銀行剛剛升級ATM軟體。目前銀行升級軟體的方式是,由負責的技術人員將新版軟體,同時傳送到要升級的提款機,執行更新。新版軟體是由ATM廠商直接寄過來的一個封包,ATM廠商不會給原始碼,銀行也無從確認原始碼中到底是否已經出問題。換言之,可能植入惡意程式的環節有:
(1)ATM廠商的原始碼,已被改寫(2)由廠商到銀行傳輸過程中,封包被破壞改寫,或者(3)一銀內網早已中毒,由銀行內網送出更新軟體給四十台電腦時,同時也傳送了惡意程式。
他解釋,由於現在許多的惡意程式,目的只是蒐集資訊,許多人雖然中毒,但沒被妨礙正常的商業運作,因此不會事先查覺。「寫這些程式都是非常困難的,」這位資訊主管強調,如果不是內賊,台灣這次真的遭到惡意攻擊。
「我們正在查,駭客是不是控制了某個員工的電腦、或入侵某些電腦,」林政賢說,問題可能出在各個環節。可怕的是,目前已發現的四個惡意程式,有一個就是要在作案後,自動刪除所有惡意程式,毀屍滅跡,還得靠調查局還原。
多位資安界人士說,由於ATM廠商不會給銀行原始碼,銀行最多能做的,就是確認封包有加密傳輸,沒被破壞。銀行能做的事情,就是進行內網掃毒;而自動提款機儘速更新版本。更要強化員工教育,不要開來歷不明的附加檔。「金融資安不是只有資訊部的事情,而是所有銀行員都要注意,」一位金融業資訊主管說。
一銀ATM中毒案,很有可能是台灣金融業第一次遭到國際駭客大型攻擊得逞的大案,意義深遠。