Contents ...
udn網路城邦
一銀盜領案 駭客團體布署月餘破解ATM
2017/07/15 00:38
瀏覽45
迴響0
推薦0
引用0
**伺服器代管推薦文**

團體耗時月餘完成入侵一銀內部網路及歹意電腦程式之製作與布署等前期作業完成後,即自7月8日放置車手共15人前後分組、分批入境,並自同年代10日凌晨0時許起起頭分組犯案。

7月5日,團體再使用一銀倫敦分行德律風灌音主機作為跳板,侵入一銀內部網路中負責針對一銀所利用另外一系列由NCR公司生產之ATM,進行ATM電腦程式更新派送之NCR伺服器,將上開歹意程式「cnginfo.exe」、「cngdisp.exe」、「cngdisp_new.exe」、「cleanup.bat」寄存在該伺服器內,以便後開始進行盜領時,供上述41部一銀ATM得以連線至NCR伺服器後以ftp方式加以下載。

6月28日起至7月4日間,團體利用一銀倫敦分行德律風灌音主機作為跳板,侵入一銀內部網路中負責「ProCash1500」型ATM電腦程式更新派送暨監控之利用程式伺服器,連續將目的係在各ATM電腦上執行盜領前準備工作之電腦指令,例如打探ATM電腦軟硬體資訊、在ATM電腦上成立具有管理者權限之帳號「support_487566a0」等準備工作之電腦指令,包裝為附檔名為dms之封裝檔,先後共33個,以操作AP伺服器上之派送程式,將前揭封裝檔派送至該集團為犯案選定位於臺北市、新北市、臺中市,總計41部之「ProCash1500」型ATM之電腦上履行,而變更該等ATM電腦上之利用者帳號記載,並蒐集獲得該等ATM電腦之資訊,作為進行盜領前之準備。

(中時)

據指出,檢調對於海外主嫌已有「大方向」,已另案偵辦中。

檢調偵辦一銀ATM盜領案,查出團體駭客從瑞士等多國,持續對一銀倫敦分行進行駭客攻擊,終於找到與一銀內部網路相通的電話錄音主機硬碟做為跳板,成功對22家分行、41台ATM植入歹意程式,短短兩天到手8327萬7600元。

該集團先製作專供獲得「ProCash1500」型ATM內現鈔資訊的電腦程式「cnginfo.exe」、號令吐鈔動作且限制僅能於105年7月間履行之電腦程式「cngdisp.exe」與cngdisp_new.exe」、專供犯案後呼喚「sdelete.exe」之電腦程式,功能是針對欲刪除之檔案進行磁區抹除,使得刪除後之檔案難以透過專業軟體進行復原,以完全刪除「cnginfo.exe」與「cngdisp.exe」進行滅證之電腦批次檔「cleanup.bat」等專供犯妨害電腦利用罪章之歹意電腦程式

車手操縱手機通信軟體通知該集團不詳之成員,由該成員行使一銀倫敦分行德律風灌音主機作為跳板,以Telnet(遠端登錄服務)之體式格局與該ATM電腦創立連線,並輸入事前已建立在該ATM電腦上之管理者帳號「support_487566a0」暨密碼後,侵入上述41部ATM之電腦,再由該ATM之電腦上以FTP(檔案傳輸辦事)之體例,自NCR伺服器下載取得上開盜領用惡意電腦程式「cnginfo.exe」、「cngdisp.exe」與「cngdisp_new.exe」、

為驗證前述入侵與布署惡意程式機制是不是可行,團體於6月30日凌晨2時11分,選擇位於台北市萬華區一銀西門分行ATM進行測試,透過NCR伺服器傳送「86.exe」程式至該西門分行ATM之電腦,再於同日凌晨3時52分許,經AP伺服器將作用為建立上開管理者帳號並呼喚「86.exe」程式以提高該帳號telnet權限之電腦指令封裝檔,派送至該西門分行ATM之電腦,以豎立具有telnet連線能力之帳號後,於同日晚上9時18分5秒至31秒期間,一方面委請真實姓名年籍不詳男子,至該西門分行ATM前考察,另方面由團體內成員自第一分行倫敦分行德律風錄音主機以telnet體例連線至該西門分行ATM之電腦,履行諸如「cnginfo.exe」之程式以測試該ATM吐鈔口開闔景遇,確認入侵與布署歹意程式之機制確實可行。

檢調查出,該團體藉網路探知一銀倫敦分行,有一可同時保持網際網路及一銀內部網路的德律風錄音主機存在電腦系統之縫隙,和一銀內部利用的主動提款機,有多數為德國「WincorNixdorf」公司所生產的「ProCash1500」型提款機,於5月31日晚上22時36分許成功入侵該德律風灌音主機。

「cleanup.bat」,隨即執行「cnginfo.exe」確認ATM之吐鈔模組狀況,再履行「cngdisp.exe」或「cngdisp_new.exe」,以干擾ATM電腦及ATM內之吐鈔模組,使該ATM在未經ATM電腦與一銀帳務系統連線稽核之狀態下,直接由ATM之吐鈔模組吐出上開歹意程式所指定命額之現鈔,並由守候在各該ATM前之車手或車手頭取款。

車手得款後,團體內成員為將侵入一銀內部網路布署上開電腦程式之跡證湮滅,復於7月12日,使用一銀倫敦分行德律風灌音主機作為跳板,再次侵入一銀內部網路中之AP伺服器,將目標在於履行上開「cleanup.bat」程式,以便將犯案用歹意程式「cnginfo.exe」、「cngdisp.exe」與「cngdisp_new.exe」進行完全刪除之電腦指令,包裝為檔名為「60712001.dms」之封裝檔,再以AP伺服器上之派送程式將該封裝檔派送至遭盜領ATM之電腦上履行,以完全刪除做案用之歹意程式及該等程式產生所產生諸如「displog.txt」之電磁紀錄。另又針對作為跳板一銀倫敦分行德律風灌音主機,將硬碟內電磁記載刪除,使該電腦沒法連線登入查看其狀況,足生傷害於一銀。



本文來自: http://www.chinatimes.com/realtimenews/20160913005760-260402IT委外|MIS外包|資訊委外|主機代管|伺服器代管|虛擬主機|郵件代管|郵件託管|雲端方案|雲端主機|網站代管|網站託管

限會員,要發表迴響,請先登入