駭客入侵一銀倫敦分行 趁ATM軟體更新植入吐鈔程式

〔記者陳慰慈／新北報導〕調查局新北市調處偵辦第一銀ATM遭跨國犯罪集團植入木馬吐鈔案，專案人員解析一銀電腦及ATM硬碟後發現，案發期間一銀英國倫敦分行電話錄音主機與台灣ATM曾有異常連線，懷疑該主機可能是入侵一銀內部網路的端點，並於7月4日ATM進行軟體更新時，入侵派送軟體開啟ATM遠端控制服務，9日駭客再以遠端登入，植入惡意程式，監控車手取款。

一銀倫敦分行電話錄音主機恐是入侵端點

此外，專案人員還發現，遭駭ATM被植入的惡意程式，是少見指定僅7月份執行才有效，之前或之後下指令也無用，指令可決定何時打開ATM吐鈔夾、選定哪個鈔票夾吐錢、吐完再換另一鈔票夾。不過調查局清查發現，駭客攻擊不是每次都成功，仍有5台ATM提款機曾被鎖定，但盜領失敗。

新北市調處今以證人約談倫敦分行資訊部門主管、一銀資訊處主管及ATM廠商德利多富內部調查員3人到案，以了解網路異常原因，3人訊後請回，預計明至台北地檢署複訊。

新北市調處調查一銀案網路入侵情形如下：

一、發現一銀倫敦分行有一電話錄音伺服器主機透由內部網路與臺灣ATM機器曾經異常連線，該主機可能為入侵一銀內部網路之端點。

二、一銀ATM機器程式更新係經由其內部派送主機提供更新程式，自動派送至各ATM機器，派送更新程式過程於7月4日遭入侵者仿冒派送軟體並開啟該ATM遠端控制服務（TELNET SERVICE），至7月9日入侵者再以遠端登入，上傳ATM操控程式（外界所指惡意程式），執行測試吐鈔開關夾，經車手回報測試成功且就定位後，國外操控者由網路遠端執行吐鈔，完成盜領後，再將隱藏控制程式、紀錄檔、執行檔全部清除，並將遠端連線服務由自動變更手動，目前發現被刪除之程式係存放於C：install或C：Documents and SettingAdministrator。

三、經專案小組反組譯後，在cngdisp.exe程式中發現有一段程式碼，設定電腦執行該程式之日期為2016年7月，之前及之後均無法執行。

四、7月16日一銀經由網路分析發現，除41台ATM機器遭盜領外，另有3台ATM曾有主動連線至倫敦一銀主機紀錄，且有2台ATM機器在監控影片中發現車手曾出現，卻未進行盜領，本局已一併查扣上開ATM硬碟進行鑑識。

五、7月16日凌晨一銀總行要求倫敦分行送回疑遭駭客借徑之電腦設備，包含一部該行電話錄音主機之二顆硬碟（互為備援）及一部個人電腦用硬碟，本局已依法查扣並進行鑑識中。

為釐清ATM機器遭入侵、操控原因，本局專案小組盡全力對數位資料進行鑑識，期及早釐清全貌，提供各界參考。

資料來源 : 自由時報