一銀ATM盜領案主謀抓到了, 以惡意程式盜領的駭客集團首領在FBI及台灣等多方合作下被逮

歐洲刑警組織(Europol)周一(3/26)宣布,以Carbanak及Cobalt等惡意程式攻擊全球超過40個國家逾100個金融組織,包括2016年國內發生的一銀ATM盜領案的駭客集團首領近日已於西班牙的阿利坎特遭到逮捕,此一逮捕與調查行動是由西班牙國家警察(Spanish National Police)主導,並在歐洲刑警組織、美國聯邦調查局、羅馬尼亞、摩爾多瓦、白俄羅斯、台灣,以及多家資安業者的支援下完成。

此一於現身於2013年的駭客集團企圖利用Carbanak與Cobalt等兩款惡意程式攻擊全球逾40國家的銀行、電子支付系統與金融機構,估計已造成全球金融產業10億歐元(約368億元新台幣)的損失,其中光是Cobalt惡意程式每次的攻擊行動最高可自銀行竊取1000萬歐元(3.68億元新台幣)。

駭客集團以Carbanak、Cobalt攻擊全球逾40國家的銀行(來源:Europol):

根據調查,該集團從2013年底開始從事高科技的犯罪行動,他們先鎖定全球金融機構的轉帳與ATM網路推出Anunak惡意程式,並於隔年打造出進化版的Carbanak,沿用至2016年,繼之再基於滲透測試工具Cobalt Strike開發更精密的Cobalt攻擊。

所有的攻擊行動都有類似的手法(下圖,來源:Europol),駭客先針對銀行的員工發送網釣郵件,偽裝是從合法公司寄來的郵件,不知情的員工下載後,電腦就會被植入惡意程式,允許駭客掌控受害者電腦,進而入侵銀行的內部網路,同時感染控制ATM的伺服器,取得讓ATM自動吐鈔所需的資訊。

讓ATM自動吐鈔則有3種途徑,一是從遠端控制ATM在特定的時間吐鈔,再由同夥等在ATM旁邊取錢,這也是台灣第一銀行遭竊的方式;二則是利用電子支付系統把錢轉到駭客的帳號;三則是修改帳戶資訊的資料庫,讓餘額膨脹,再由車手去領錢。

駭客集團還利用加密貨幣來洗錢,藉由連結加密貨幣錢包的預付卡來購買名貴的汽車或房子。

此一駭客集團的成員或受害者皆散布在全球,歐盟的聯合網路犯罪行動小組(Joint Cybercrime Action Task Force,J-CAT)與歐洲刑警組織負責協調警力,由歐洲刑警組織的歐盟網路犯罪中心(EC3)負責資訊的交流與舉辦行動會議,再加上歐洲銀行聯盟(European Banking Federation,EBF)的參與。

EC3負責人Steven Wilson表示,這是國際聯手對抗頂級網路犯罪組織的一次大勝利,駭客集團的關鍵人物遭逮意味著這些網路犯罪份子再也無法匿名,同時彰顯了國際間及與資安業者緊密合作的重要性。

歐洲刑警組織並未公布此一駭客集團首領的名字或逮捕行動細節。

而協助跨國調查的法務部調查局指出,歷經1年8個月的調查及國際合作,由西班牙警方逮捕到主嫌之一的俄羅斯籍男子Denys,並確認並無國人參與。後續將繼續追查其他主嫌,並透過司法互助追回剩餘的579萬元贓款。

原文來自 iThome Online