调查局:确认一银伦敦分行为骇网端点

调查新北市调查处今晚表示,侦查一银ATM遭盗领案,确认伦敦分行电话录音伺服器主机遭骇,成为入侵内部网路端点

市调处表示,在持续调查网路入侵途径、ATM机器操控方式等,发现一银伦敦分行有一电话录音伺服器主机,曾透由内部网路与台湾 ATM 机器异常连线,此一主机可能为入侵一银内部网路的端点。

因为一银ATM机器程式更新是经由内部派送主机提供更新程式,自动派送至各 ATM 机器,派送更新程式过程于7月4日遭入侵者仿冒派送软体并开启ATM远端控制服务(TELNETSERVICE)。

入侵者7月9日再以远端登入,上传 ATM 操控程式(外界所指恶意程式),执行测试吐钞开关夹,经车手回报测试成功且就定位后,国外操控者由网路远端执行吐钞,完成盗领后,再将隐藏控制程式、纪录档、执行档全部清除,并将远端连线服务由自动变更手动

目前发现被删除程式存放于C:/install或C:/Documents and Setting/Administrator/。

市调处表示,经专案小组翻译后在cngdisp.exe程式中发现有一段程式码,设定电脑执行该程式日期为2016年7月,之前及之后均无法执行。

市调处表示,一银经由网路分析发现,除41台ATM机器遭盗领外,另有3台ATM曾有主动连线至伦敦一银主机纪录,且有2台ATM机器在监控影片中发现车手曾出现,却未进行盗领,目前已查扣这ATM硬碟进行鉴识。

市调处表示,一银总行16日要求伦敦分行送回疑遭骇客借径电脑设备,包含电话录音主机2颗硬碟(互为备援)及一部个人电脑用硬碟,现已查扣鉴识中。1050718