卡巴斯基實驗室對近日台灣銀行ATM盜領事件的看法

506664622

卡巴斯基實驗室大中國區辦公室(臺北.香港.北京)針對近日於台灣地區發生的銀行ATM盜領事件,發布以下的看法與說明:

針對ATM的安全性問題,這次的事件並非全球第一次發生,早在2014年卡巴斯基實驗室已率先發現此類威脅事件,並提供相應的對策和防禦辦法。這類的ATM攻擊與盜領事件,隨著駭客威脅手法的不斷創新,未來將會更頻繁出現!

卡巴斯基呼籲,政府和金融單位必須正視這些問題,做好相應的網路威脅防護,以提供給廣大的金融使用者最大的安全保障。

卡巴斯基實驗室近年來針對各國ATM安全事件研究,歸納了幾種可能的攻擊手法:

  1.  “Carbanak”手法:針對整個銀行交易處理系統進行入侵。

    第一階段:
    先透過社交工程,取得特定權限管理者的敏感性資訊(如帳密相關資訊),利用已被感染的內部電腦搜尋出具有管理員權限的電腦。

    第二階段:
    針對具有管理權限的操作主機,透過網路繞行運用漏洞植入惡意程式,再進行第二階段的資訊收集,包含側錄交易系統或特定平臺的資訊,再於特定時間點針對有弱點的ATM進行攻擊,於特定時間點吐鈔取款。此種手法也被視為標準的針對式攻擊(APT)方法之一。近日事件,近似這種例子,後續受攻擊單位除了ATM設備檢視外,亦需從內部網路徹底檢查。
  2. “黑箱”攻擊(Black box attack):
    此項攻擊需搭配特定的破解硬體工具,於ATM硬體設備上維護時插入特定設備(黑箱),駭客可透過工具直接控制整個ATM設備,進行ATM吐鈔及側錄相關交易資訊等功能。此種手法需能直接接觸實體設備,並介接相關控制晶片或網路。

卡巴斯基室驗室滲透部門安全專家Olga Kochetova表示,ATM所受的威脅,最大的問題,其實來自於對ATM設備沒有配置正確的安全保障,或太相信ATM是封閉的網路架構,而忽視了對基礎設施、作業系統及應用程式的管控機制。這些誤解,給現在的網路犯罪者提供不一樣的機會。例如:在ATM內部網路中,直接使用telnet即可登入設備進行維護作業,很容易就能讓人取得相關的帳密,或是利用進行攻擊。

要減少這些設備面臨的威脅,可先從以下方面改善:

  • 針對XFS標準協定進行修定,增加其安全性。在設備和合法軟體間導入雙因數認証機制。可減少攻擊者使用木馬等未授權程式控制ATM的機會。
  • 針對ATM上所執行的各種程式進行管制,更新軟體步驟配合資安政策標準,避免被植入木馬或惡意程式的機會。
  • 對ATM設備的電腦硬體設備檢查相關介面(網路孔或USB孔)及完整性控制,確保基礎設施的完善,不因外接設備影響。以上攻擊手法可參考下列網路分享:
    https://www.youtube.com/watch?v=wUU8bAVgx80
    https://www.youtube.com/watch?v=4TXnIcjn1xc

卡巴斯基實驗室事件發布中心於2016/4/26發布之ATM攻擊事件說明:

https://securelist.com/analysis/publications/74533/malware-and-non-malware-ways-for-atm-jackpotting-extended-cut/

卡巴斯基實驗室全球技術副總裁Sergey Gordeychik對臺灣的事件表示,「這是跨國性的組織犯罪,我們非常遺憾聽聞台灣發生此事件。卡巴斯基實驗室目前持續與GCSEC – Global Cyber Security Center研究聯防ATM與金融體系可能發生的威脅,期望也協助全球降低這方面的資安事件。」

卡巴斯基實驗室目前有 Kaspersky Embedded Systems Security 提供ATM/POS相關安全解決方案;面對針對性攻擊亦提供Kaspersky Anti Targeted Attacks 的安全方案;面對全球日趨複雜的網路攻擊,卡巴斯基更有針對國家政府、大型企業的威脅情報分析回應。這些產品和服務,能夠有效因應並防護全球性網路威脅事件的發生。


Comments are closed