黑客攻擊俄羅斯 ATM 盜 80 萬美元 兩句子成僅餘線索

黑客盜取提款機現鈔的手法層出不窮。日前防毒軟件公司卡巴斯基表示,去年俄羅斯有提款機遭黑客攻擊,盜走 80 萬美元,但調查時沒有發現任何惡意程式,提款機兩個日誌檔的句子成為僅餘的線索。

黑客盜取提款機現鈔的手法層出不窮。日前防毒軟件公司卡巴斯基表示,去年俄羅斯有提款機遭黑客攻擊,盜走 80 萬美元,但調查時沒有發現任何惡意程式,提款機兩個日誌檔的句子成為僅餘的線索。

 

卡巴斯基稱,去年有俄羅斯銀行向他們求助,指從閉路電視看到有人在提款機面前,沒有做任何事情就能提走款項。結果發現至少有八部提款機遭相同攻擊,損失金額達 80 萬美元,但提款機系統沒有發現惡意程式,只有兩個相信是惡意留下的日誌檔。該兩個日誌檔內的句子分別為「」和「Dispense Success」。

 

「無檔案攻擊」不留痕入侵系統

縱使如此卡巴斯基研究人員很快便找到病毒的樣本。該病毒曾在俄羅斯和哈薩克斯坦出現,屬於「無檔案攻擊」的一種,研究人員將之命名為 ATMitch。

 

研究人員透過逆向工程分析黑客的攻擊手法。首先,黑客利用未知的漏洞入侵銀行的伺服器,並以 Meterpreter、Mimikatz 和 PowerShell 指令,把惡意程式植入伺服器記憶體之中,之後便會與 C&C 伺服器連繫。由於惡意程式存儲在記憶體而非硬碟中,因而不會被防毒軟體偵測到,系統重開機後亦會消失。

然後黑客便可向提款機植入 ATMitch。ATMitch 會讀取 command.txt,內裡含字母組成的指令,如 O 代表開啟提款機鈔票匣(Open dispenser)。最後 ATMich 會下達指令,得悉提款機有多少餘額後,就會吐出現鈔,然後自我刪除。研究人員亦懷疑,「Take the Money Bitch!」會在吐出現鈔後在熒幕顯示,提醒犯人行動。

現時研究人員亦未知犯案者的背景,但認為犯案手法與早前兩個惡名昭彰的入侵提款機組職 Carbanak 和 GCMAN
相似。

去年台灣第一銀行的提款機亦遭攻擊,敲響提款機保案的警號,期後有調查表示,歐洲多國亦曾發生提款機攻擊事件。

Source : Kaspersky , Motherboard