俄羅斯 ATM 盜領集團手法公開:駭入倫敦主機、跨國 WICKR ME 即時通遠端遙控洗錢手

作者 | 發布日期 2016 年 07 月 20 日 0:30 | 分類 網路 , 資訊安全 , 軟體、系統 follow us in feedly

一銀的 ATM 盜領案經過警方逮捕 3 名外籍嫌犯後,追回六千多萬的贓款,也成為目前國際 ATM 盜領案中,首件追回大規模贓款的國家。並且發現幕後的主使者為俄羅斯黑幫。而在 19 日,警方也公布了更多這個組織的犯罪手法。




警方在宜蘭與台北同步逮捕的 3 名外籍人士,為該犯罪集團的洗錢手,分別是:在宜蘭被逮捕的安德魯(41 歲、拉脫維亞籍),以及在台北被捕的米海爾(30 歲、羅馬尼亞籍)、潘可夫(34 歲、摩爾多瓦籍)。而安德魯為 3 人中負責聯絡指揮調度的主嫌。

不過,這 3 人供稱自己也只是打工的,均受僱於幕後的俄羅斯黑幫。安德魯自稱他本來是個建築工,在俄羅斯的月薪約 1 萬元台幣,2015 年在拉脫維亞認識一名男子,因欠對方 3,000 歐元,才接受對方委託前來台灣辦事,對方還答應事成後給他 1 萬美元。

T客邦 配圖

之前根據資安調查官比對所有被駭的 ATM 硬碟並至資安實驗室鑑識分析,確認盜領案發生期間,一銀倫敦分行電話錄音主機與台灣 ATM 有異常連線,判斷一銀的倫敦分行是駭客的入侵點。駭客透過這個倫敦分行的主機,得知一銀會於 6 月底進行 ATM 軟體更新,便趁這次機會開啟 ATM 遠端控制服務,之後再以遠端登入方式植入惡意程式讓吐鈔模組作用。而當領鈔完畢後,還會遠端遙控刪除檔案,藉此來讓犯案過程「了無痕跡」。

 

虛實整合:線上駭入主機,遠端遙控車手、洗錢手取款

之前一些媒體報導安德魯是「主嫌」其實這種說法是誇大了,安德魯也只是一個受到遠端遙控的木偶而已。俄羅斯駭客的犯罪模式相當縝密,他們的做法是駭客組先在俄羅斯跨國入侵第一銀行位於倫敦分行的主機,然後透過遠端遙控在台灣已經被駭客放置木馬的提款機,之後再由這些單向聯絡的車手組、洗錢組入境,取款後將贓款藏在特定的地方,快速盜領之後就出境逃逸。

至於負責洗錢的安德魯表示,他來到台灣之後,都是透過 WICKR ME 軟體接受幕後首腦指令行動。而且整個集團成員也都是透過 WICKR ME 來聯繫。

WICKR ME 是一個號稱「軍事級」的加密通訊軟體,為美國所推出。這個軟體主打的是通訊無法被追蹤,包括圖片和影片都會進行「四重加密」,甚至還有閱過即焚的自我銷毀功能。在東歐的軍方甚至 ISIS 也都使用這個通訊軟體,由於訊息加密竊取不易,而且聯繫之後將訊息刪除也很難把訊息還原。

T客邦 配圖

事實上,根據 3 名被捕的成員供稱,3 名成員彼此之間互不相識。都是透過這個軟體來居中聯繫。警方目前依詐欺、妨害電腦使用等罪嫌將 3 名嫌犯移送地檢署。而警方懷疑 3 人說法還有疑點,也懷疑還有多名共犯在逃。

(本文由 T客邦 授權轉載)

延伸閱讀:

發表迴響