昨天爆發的一銀遭到ATM盜領七千萬的事件,由於有兩名俄羅斯人涉案,因此也被指為可能是近年來讓世界各國銀行業聞之色變的東歐駭客「Carbanak組織」所為。就讓我們來整理一下,「Carbanak組織」是怎麼一回事。
「Carbanak」是攻擊手法,也泛指用這種手法的駭客組織
基本上「Carbanak」指的是一種犯罪手法,專門攻擊銀行以及金融機構的駭客行為。目前已知是從東歐開始的,犯罪成員可能包括有俄羅斯以及烏克蘭人,目前已知被利用這種手法攻擊的銀行遍佈世界各國,受害者已經有超過一百家銀行以上,總損失金額高達10億美元以上。
不過,造成這麼龐大的受害數量,背後是由單一組織所發起,還是由多個組織但是利用同一種手法所發起,目前沒有定論,但資安公司普遍相信採用這種手法的背後,比較難以一個人獨立完成,因此背後應該都藏有一個組織,統稱他們為「Carbanak黑幫」(carbanak criminal gang)或是「Carbanak組織」,但也有人會用「Carbanak」來泛指相關的組織。
「Carbanak」這個名稱的首次出現,是由卡巴斯基在2015年接受烏克蘭銀行的委託調查,有一部ATM機器在周圍沒有人的情況下,發生了吐鈔的現象,卡巴斯基最後將這種對銀行進行駭客攻擊的模式稱為「Carbanak」。
卡巴斯基表示,新型Carbanak木馬會依賴於預先設定好的IP位址發動攻擊,證實這種 Carbanak 2.0的攻擊是對不同類型的公司進行網路攻擊,包括金融機構、電信公司等。卡巴斯基並認為這個犯罪組織可能已經註冊了一家公司並擁有一個銀行帳戶,這樣他們可以輕易將偷來的錢轉移到公司帳戶並完全控制轉帳過程。
不過,雖然在2015年才發表這個報告,這不代表這一集團或是組織針對銀行的的攻擊是從2015年才開始。事實上在更久之前,就有資安公司以Anunak Crime Group 為名,來稱呼這群在東歐對銀行進行攻擊的駭客。而在2014年,俄羅斯就曾經爆發過大規模的銀行提款機吐鈔盜領案,手法與這次一銀的犯案方式很類似。
目前各資安公司對於這種ATM吐鈔盜領犯罪的研究及建議
從2014年開始,在俄國以及烏克蘭等地的銀行爆發這種ATM取鈔事件之後,各大資安公司都針對不同的ATM案件進行研究,並且得出許多所觀察到的模式與建議。大致上來說,這一類型的攻擊,主要是類似於「 Jackpotting 」的技術( 由白帽駭客Barnaby Jack所提出),而有不同的變形以及演化。
其實透過這些研究,Carbanak的犯罪手法並非是無法預防的,只是看銀行以及提款機的製造商有多重視這件事。Carbanak雖然可能有不同的手法,但主要都是植入木馬到ATM的機器裡,然後透過某種方式觸發,啟動ATM的吐鈔模組。以下是各家資安公司曾經發表過的相關研究:
- 賽門鐵克:ATM機器事前被植入木馬,可以透過ATM的鍵盤直接輸入指令啟動吐鈔模組,並且當程式執行完畢後會自動刪除程式。不過這種類型的木馬並無法感染所有的ATM機種,這個程式主要會感染32位元的Windows內嵌系統的DLL檔案。木馬程式可以設定來關閉ATM的網路功能,藉此防止觸動警報。
- 卡巴斯基:受感染的ATM多半都是主流的ATM製造商。而且為了防止其他人誤觸到吐鈔的機制,這些木馬會設定在特定的日期以及時間執行,並且還設有存取密碼。
- F-Security:病毒用到的APIs都是依據ATM製造大廠NCR所發表的一本程式設計師參考手冊所寫。因此NCR的機器受感染的機率相當高。
此外,這些公司也有提供提款機製造廠商一些防止ATM被駭入的建議。卡巴斯基表示,根據他們研究受害ATM的監視裝置,駭客安裝木馬程式都是透過一張開機光碟來入侵,而這些駭客也只有針對那些沒有安裝安全警報的ATM機器來進行入侵。此外,也建議所有的製造商更換預設的安全密碼,因為駭客知道預設的Master keys是什麼。
而賽門鐵克則建議ATM應該要設定永遠不要自動執行那些透過網路連接或是外接裝置上的檔案。ATM裝置應該啟動BIOS密碼的設定,強迫使用者如果要安裝CD或是USB外接裝置的時候,必需要先輸入BIOS密碼。
卡巴斯基也建議在ATM上安裝防毒軟體,不過F-Secure則表示目前大多的ATM機器所採用的硬體規格都不高,很少有機器有足夠的資源允許安裝防毒軟體,因此,除非是安裝一個防毒軟體的Client端到系統上,然後透過雲端來防毒。不過也有硬體專家認為安裝防毒軟體行不通,因為這會導致提款作業變得更加緩慢。而釜底抽薪之計,應該還是ATM廠商該要以更安全的角度來考量,設計新一代的ATM。
犯罪目標從東歐轉移到其它國家
早期這種犯罪手法主要集中在東歐等國家,因此世界各地其它國家對於這類型的攻擊只保持著觀望的態度。當時,大多數的國家可能更擔心的是勒索軟體的問題。不過近年來該犯罪手法已經轉移到其它國家。
在2015年9月,國際戰略研究中心(CSIS)的安全小組發現了Carbanak木馬的新變種傳播在網絡上,其目標直指歐美的金融組織。而到今年三月,資安公司Proofpoint發表報告表示,跟組織已經轉向針對中東、美國等地區的銀行開展網路攻擊。
而這兩個月,亞洲的銀行業也不輕鬆。在今年五月22日,日本的超商ATM也被爆出共約1400台ATM遭人以偽信用卡同步盜領,提走逾14億日圓。不過,該起事件有超過100名提款人互相聯絡盜領。手法與Carbanak不大一樣,應該與前兩天一銀的ATM盜領事件不是同一夥人。
不過,不論如何,這次的事件只是再次證明了幾年前資安公司與駭客就曾經提醒過的事情,那就是ATM並沒有銀行以及廠商所想像的那麼安全。而且現在的ATM有很多機型都是老舊的機種,可能已經無法應付新型態的駭客攻擊。是時候各家銀行都該全面檢視現有的ATM機種的安全性,該升級的話就趕快升級,以免因小失大。
資料來源:bankinfosecurity、中央社、securityintelligence
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!