調查局偵辦ATM遭盜領案:受害提款機遭植入2隻.exe惡意程式,一執行就吐鈔

調查局偵辦ATM遭盜領案:受害提款機遭植入2隻.exe惡意程式,一執行就吐鈔

在一銀遭受跨國集團以駭客方式盜領七千萬逃逸之後,調查局受理此案進行調查,並且發表了初步的調查報告。初步發現ATM提款機遭到植入兩隻惡意程式,不過目前並未說明這兩隻惡意程式是怎麼被植入提款機裡頭。

調查局表示,於11日晚上受理第一銀行檢舉後,調查局於12日上午立即報請臺灣臺北地方法院檢察署指揮,並由調查局資安專業人員,於上午兵分多路,分別前往第一銀行總部、資訊處、各分行及遭駭ATM系統開發及維護廠商「德利多富公司」調閱該案相關資料,以保全涉案之跡證。

調查局偵辦ATM遭盜領案:受害提款機遭植入2隻.exe惡意程式,一執行就吐鈔

▲第一銀行提供的盜領畫面


調查局表示,偵查重點主要在對第一銀行該行網路系統架構、自動櫃員提款機(ATM)運作模式、系統開發及維護流程、遭盜領ATM之電磁紀錄、錄影畫面及損失金額等,進行初步的瞭解。

 而調查局在調取相關物證過程發現,遭駭ATM軟硬體均由德商「德利多富公司」建置及維護,其廠牌為wincor,型號為pro cash 1500,發現遭植入2隻惡意程式名稱分別為「cngdisp.exe」及「cngdisp_new.exe」,經檢測該惡意程式,確認遭駭之ATM會立即依該惡意程式指令吐出現鈔。

調查局偵辦ATM遭盜領案:受害提款機遭植入2隻.exe惡意程式,一執行就吐鈔

▲查了一下該公司的官網,不確定這款1500xe與一銀的機種是否為同款。

調查局偵辦ATM遭盜領案:受害提款機遭植入2隻.exe惡意程式,一執行就吐鈔

▲做為參考,1500xe採用的系統為Windows XP

至於這兩隻惡意程式,怎麼會到ATM裡頭,調查局目前仍無相關線索可以追查。不過調查局表示,為追查其來源及植入方式,調查局人員正在現場image相關數位證據,將送回資安實驗室進行鑑識及分析,俾利釐清案情。

調查局另提醒使用同款軟硬體ATM機台之金融機構,盡速檢查網路系統中有無「cngdisp.exe」及「cngdisp_new.exe」等惡意程式,立即清除,以維資安。

調查局並且呼籲,有關查盜領者於 ATM盜領時,並未插入金融卡或使用ATM按鍵,僅於遠端操控電腦程式,使ATM自動連續吐鈔,係從個別ATM盜取現金,尚未發現有入侵第一銀行資料庫,進行轉帳行為,故存款人暫勿驚慌。日後民眾若發現此種異常操作ATM提領金錢者,請立即通報銀行及警調機關,以追查不法情事。

 

資料來源:調查局

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
users
1.  users (發表於 2016年7月14日 01:20)
這家公司是否真的是德商不得而知,
但可以肯定的一點是它是這行的後起之秀,
(≧▽≦)
至少在台灣國內Y2K之後公股金融機構更新的ATM設備都是這家產品;
反觀民股的新行庫倒沒見到過這家的設備(至少中華郵政的新機台幾乎都是這一家的,其它純民銀和一次金改私併公的前官銀自動化區里在個人印象中沒見過這牌子的東東)。
不知是否公銀的決策者都中了CD魔咒的緣故還是那公共採購法硬是規定最低價標在作怪,
反正搭上M$敲開台灣金融圈關鍵設備市場這波浪頭該品牌算是大有斬獲。
<( ̄︶ ̄)>
原本金融機構的電腦設施體系向來都是些老字號跨國企業的商業設施大廠在瓜分的,
包含IBM、NEC、富士通、日立、NCR等等品牌,
並且清一色的都是UNIX平台的封閉網路系統與設備。
後來M$先是切入了營業單位(分行這類人工櫃員服務體系)的終端設備(也就是每個櫃台行員和後面坐鎮的主官管這些人面前的電腦終端機改用WINDOWS PC)然後連這一套系統的後端伺服器也變成WINDOWS SERVER網路也改為IP NET(就是目前大家常用的區網架構→TCP/UDP協定);
(⊙ˍ⊙)
再進一步連自動化交易服務體系的前台系統(就是ATM機台也變成WINDOWS終端機/工作站),
最後一步就連後檯伺服器系統也WINDOWS SERRVER化並且連其網路架構也改為IP NET 的開放式網路(因為是企業用網路所以應該是叫做INTRANET吧,不過和INTERNET一樣是TCP/UDP協定的東西)。
〒ˍ〒
這些M$化的ATM機台全部都經過IP化所以只要有IP位址就能連入對應的那台ATM。
並且由於改成開放式網路所以可以透過網際網路連入實體ATM(這在以往是不可能的),
其實是有很大的安全隱憂存在、出包不過遲早的問題。
╮(╯_╰)╭
雖然不是你我或者隨便任何人都能連進去但只要一定程度以上的軟體工程師/程式師(講白話點就大概是中等以上實力的駭客)應當連入不是問題,
在過去想要駭進ATM的網路系統只有像電影《劍魚》之類那樣做實體侵入然後硬接線去連入,
並且封閉系統的設計在安全考量上也比較周密光是連入ATM網路也做不了啥所以實際上也沒聽過有侵入的案例。
不過M$這道大門一開(或者該說是落地窗?),
漏洞百出的瘟到死系統加上開放式IP網路植入惡意程式對於具有駭客同級能力的人士應當並非難事。
囧rz
可笑在於公營單位從來就非成本敏感的實體竟不知為何給鬼遮了眼、豬油矇了心;
貪小便宜、省錢省到門戶洞開引狼入室,
反倒向來對成本錙銖必較的私立金融機構仍然在用所謂高成本的這些傳統大廠的封閉系統產品,
這裡面的學問還真是耐人尋味、引人入勝呀。
╯-__-)╯ ╩╩
發表回應
謹慎發言,尊重彼此。按此展開留言規則