• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:338

一、發現一銀倫敦分行有一電話錄音伺服器主機透由內部網路與臺灣ATM機器曾經異常連線，該主機可能為入侵一銀內部網路之端點。
二、一銀ATM機器程式更新係經由其內部派送主機提供更新程式，自動派送至各ATM機器，派送更新程式過程於7月4日遭入侵者仿冒派送軟體並開啟該ATM遠端控制服務（TELNET SERVICE），至7月9日入侵者再以遠端登入，上傳ATM操控程式（外界所指惡意程式），執行測試吐鈔開關夾，經車手回報測試成功且就定位後，國外操控者由網路遠端執行吐鈔，完成盜領後，再將隱藏控制程式、紀錄檔、執行檔全部清除，並將遠端連線服務由自動變更手動，目前發現被刪除之程式係存放於C：\install或C：\Documents and Setting\Administrator\。
三、經專案小組反組譯後，在cngdisp.exe程式中發現有一段程式碼，設定電腦執行該程式之日期為2016年7月，之前及之後均無法執行。
四、7月16日一銀經由網路分析發現，除41台ATM機器遭盜領外，另有3台ATM曾有主動連線至倫敦一銀主機紀錄，且有2台ATM機器在監控影片中發現車手曾出現，卻未進行盜領，本局已一併查扣上開ATM硬碟進行鑑識。
五、7月16日凌晨一銀總行要求倫敦分行送回疑遭駭客借徑之電腦設備，包含一部該行電話錄音主機之二顆硬碟（互為備援）及一部個人電腦用硬碟，本局已依法查扣並進行鑑識中。

攻擊手法： 尚在釐清，疑似派送ATM軟體時植入

參考連結：

http://news.ltn.com.tw/news/society/breakingnews/1767074
http://www.chinatimes.com/realtimenews/20160718005275-260402
http://udn.com/news/story/2/1837211-%E4%B8%80%E9%8A%80%E9%81%AD%E9%A7%AD%E6%B5%81%E7%A8%8B%E5%9C%96%E6%9B%9D%E5%85%89-%