駭客攻擊俄羅斯 ATM 盜領 80 萬美元,兩句話成僅有線索

作者 | 發布日期 2017 年 04 月 11 日 8:30 | 分類 資訊安全 , 軟體、系統 follow us in feedly

駭客盜取提款機現鈔的手法層出不窮。日前防毒軟體公司卡巴斯基(Kaspersky)表示,去年俄羅斯有提款機遭駭客攻擊,盜走 80 萬美元,但調查時沒有發現任何惡意程式,提款機兩個日誌檔的句子成為僅餘的線索。



卡巴斯基稱,去年有俄羅斯銀行向他們求助,指從閉路電視看到有人在提款機面前,沒有做任何事情就能提走款項。結果發現至少有 8 部提款機遭相同攻擊,損失金額達 80 萬美元,但提款機系統沒有發現惡意程式,只有兩個相信是惡意留下的日誌檔。該兩個日誌檔內的句子分別為「Take the Money Bitch!」和「Dispense Success」。

「無檔案攻擊」不留痕跡入侵系統

縱使如此,卡巴斯基研究人員很快便找到病毒樣本。該病毒曾在俄羅斯和哈薩克斯坦出現,屬於「無檔案攻擊」的一種,研究人員將之命名為 ATMitch。

研究人員透過逆向工程分析駭客的攻擊手法。首先,駭客利用未知的漏洞入侵銀行的伺服器,並以 Meterpreter、Mimikatz 和 PowerShell 指令,把惡意程式植入伺服器記憶體,之後會與 C&C 伺服器連繫。由於惡意程式儲存在記憶體而非硬碟中,因而不會被防毒軟體偵測到,系統重開機後也會消失。

然後駭客便可向提款機植入 ATMitch。ATMitch 會讀取 command.txt,裡含字母組成的指令,如 O 代表開啟提款機鈔票匣(Open dispenser)。最後 ATMich 會下達指令,得知提款機有多少餘額後,就會吐出現鈔,然後自我刪除。研究人員亦懷疑,「Take the Money Bitch!」會在吐出現鈔後在螢幕顯示,提醒犯人行動。

現在研究人員也不知犯案者的背景,但認為犯案手法與之前兩個惡名昭彰的入侵提款機組職 Carbanak 和 GCMAN 相似。

去年台灣第一銀行的提款機也遭攻擊,敲響提款機竊盜案的警鈴,之後有調查表示,歐洲多國也曾發生提款機攻擊事件。

(本文由 Unwire Pro 授權轉載;首圖來源:shutterstock)

延伸閱讀: