編按:前國安局副局長郭崇信是情治圈資安專家,甫於月前退休,他在任內遇到一銀ATM被駭案,作案的是俄羅斯駭客犯罪集團,郭崇信全程參與,他在退休後,首度接受專訪剖析全案,透露國安檢調與國際暗黑駭客的攻防鬥智,內容頗為精彩。
2016年7月6到9日,有群駭客集團車手悄悄地分別由香港、杜拜、土耳其、宿霧及雪梨入境桃園國際機場來到寶島台灣,利用星期天10日及11日的颱風假,街上人少,歹徒選擇台北市四平街市場附近的一銀吉林分行ATM提款機,先來一次突襲前的演練,演習完美無暇,時間是上午9點多。這些人信心滿滿的等待黑夜來臨,進行台灣金融史上第一次駭客盜領銀行案。
駭客從倫敦一臺電話錄音伺服器(10.224.21.11),橫跨1萬公里,遠端遙控台北及台中兩地第一銀行22家分行的41台ATM,10多名車手兵分多路到達指定的提款機前,不需提款卡,沒輸入任何密碼,甚至不用接觸ATM就能領錢,彷彿像電影情節般,ATM源源不絕地吐鈔,吐到鈔盡機亡。駭客與車手合作無間,神不知鬼不覺地盜領8,327萬7600元,破案後,追回7,754萬5,100元。
一銀ATM遭駭的主謀是東歐駭客犯罪集團Cobalt集團,專門攻擊金融機構為主,以NCR主機為鎖定目標進行攻擊,利用商業滲透測試軟體「Cobalt Strike」,刺探各國金融機關主機弱點,經客製化惡意程式後,受害國家逾40國,超過100家金融機構被駭,總計不法所得高達10億歐元,折合新台幣約360億元。
在一銀ATM盜領案中,發現其使用網路駭侵工具、吐鈔程式、滅證程式及連線中繼站IP等駭侵軌跡,都與COBALT犯罪集團手法及特徵高度相符,透過合作管道與相關國際警察組織交換情資並通力合作,於今年3月24日,終於在西班牙阿立坎特逮捕該案主嫌俄羅斯籍Denys,偵訊時,他坦承犯下一銀盜領案。
一銀ATM被駭案是我國首次被國際駭客盜領,驚動層峰,所以精銳盡出,派出警、調最優秀的幹員參與辦案,由警方負責刑案,調查局負責資安鑑識調查。但車手在犯案後3天全數撤離,辦案之初其實並不順利。
之後,調查局發現一銀倫敦分行是駭客入侵的端點之一,找出了惡意程式,確認ATM遭駭,於是調查局轉而聚焦清查一銀內網的各種異常連線記錄,終於找到了在7月9日時,有大量來自海外一銀倫敦分行連線到台灣ATM的記錄,發動大量連線的系統是倫敦分行的電話錄音伺服器,推斷一銀倫敦分行就是造成這次駭客入侵的端點之一,駭客入侵伺服器做為跳板,再攻入總行的ATM。
另一方面,支援警力開始由ATM盜領現場畫面前後擴展,調集犯案地點附近的1,200多部錄影監視器逐一過濾,投入警力運用影像比對,找到第一組犯案租車車號「5088-99」後,再以車追人,追蹤車手往返交通工具、住宿飯店,再由人追出通聯電話,再用電話進行關聯分析,第一時間確認犯嫌掌握入出境資料,勾勒出犯案全景。
(工商時報/呂昭隆)