一银伦敦分行电话录音伺服遭入侵 成台湾ATM盗领起点
一银ATM被外籍兵团盗领8千余万元案,调查局针对一银ATM程式被骇深入追查,在18日有重大突破,调查局发现一银伦敦分行有一电话录音伺服器主机透由内部网路与台湾ATM机器曾经有异常连线,该主机可能就成为侵入一银内部网路的端点,才发生后来震惊全台的盗领案件。
调查局表示,一银ATM机器式更新系经由其内部派送主机提供更新程式,再自动派送至ATM机器,派送更新程式过程于7月4日遭入侵者仿冒派送软体并开启该ATM远端控制服务,至7月9日入侵者再以远端登入,上传ATM操控程式(外界所指恶意程式),执行测试吐钞开关夹,经车手回报测试成功且就定位后,国外操控者由网路远端执行吐钞,完成盗领后,再将隐藏控制程式、纪录档、执行档全部清除,并将远端连线服务由自动变更手动。
目前发现被删除的程式系存放于C:install或C:Documents and SettingAdministrator,经专案小组反组译后,在cngdisp.exe程式中发现有一段程式码,设定电脑执行该程式为2016年7月,之前及之后均无执行。
▲一银伦敦分行一部电话录音伺服器遭骇曾异常与台湾ATM机器连线,可能就成为这次盗领案件的起点。(图/记者孙曜樟摄)
7月16日一银经由网路分析发现,除41台ATM机器遭盗领外,另有3台ATM曾有主动连线至一银伦敦分行主机纪录,且有2台ATM机器在监控影片中发现车手曾出现,却未进行盗领,调查局已一并查扣ATM硬碟进行鉴识。
另外,在16日凌晨一银总行要求伦敦分行送回疑似遭骇客借径的电脑设备,包括一部该行电话录音主机的2颗硬碟(互为备援)及一部个人电脑用硬碟,目前正由专案人员鉴识中,以早日厘清ATM遭入侵、操控原因。