声明
本文是学习360 全球关键信息基础设施网络安全分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
第三章 针对关键信息基础设施的 APT 攻击
关键信息基础设施历来是 APT 攻击重点。而从 2016 年的实际情况看,针对工业系统(涵盖多个基础设施领域)和金融系统的 APT 攻击最为多见。因此,本章将以工业系统和金融系统为例, 简要介绍针对关键信息基础设施进行的 APT 攻击。
一、 针对工业系统的破坏
从全球范围内的 APT 攻击事件监控与研究情况来看,绝大多数的 APT 攻击主要目的是窃取机密信息,而具有显著破坏性的APT 攻击并不多见。但 2015 年末至 2016 年以来,在世界范围内却先后发生了数起引起全球关注的,具有显著破坏性的 APT 攻击事件。其中尤以针对工业系统的破坏性攻击最为引人关注。
2015 年 12 月 23 日,也就是在圣诞节的前夕,乌克兰遭遇了大规模停电事件,数万“灾民”不得不在严寒中煎熬;而在2016 年 11 月 17 日晚,也就是伊斯兰教的大赦之夜,沙特阿拉伯又遭遇了 Shamoon2.0 的攻击,包括沙特国家民航总局在内的6 个重要机构的计算机系统遭到严重破坏。似乎每到年末的时候, 针对工业系统的网络攻击就会悄然来袭,使那些可怜的受害者们无法“安心过年”。
(一)乌克兰圣诞大停电事件
2015 年 12 月 23 日,也就是 2015 年的圣诞节前夕,乌克兰一家电力公司的办公电脑和 SCADA 系统(Supervisory Control And Data Acquisition 系统,即数据采集与监视控制系统,一般用来代指工业控制系统)遭受到第三方非法入侵。事故导致伊
万诺•弗兰科夫斯克地区将近一半的家庭经历了数小时的电力中
断。起初,电力公司估计约 8 万名左右的用户受灾,后发现共有
三种不同配电站的能源公司遭受攻击,造成约 22.5 万名用户的
电力中断。
攻击事件发生后不久,乌克兰政府官员声称电力中断是由网络攻击引起的,并指责俄罗斯国家安全部门应为此事负责。美国政府,以及许多的当地私营企业均对乌克兰的政府调查人员施以援手,协助乌克兰政府对攻击事件进行分析,以确定故障的根本原因。
2016 年 1 月 3 日,安全公司 ESET 最早披露了本次事件中的相关恶意代码,并发表文章称:乌克兰电力部门感染的恶意代码为 BlackEnergy。BlackEnergy 是一种后门程序,攻击者能够利用它来远程访问并操控电力控制系统;此外,在乌克兰境内的多家配电公司设备中还检测出了恶意程序 KillDisk,其主要作用是破坏系统数据以延缓系统的恢复过程。再者,研究人员还在电力系统的其他服务器上发现了一个被添加后门的 SSH 服务端程序,攻击者可以根据内置密码随时连入受感染的主机。
事实上,恶意程序 BlackEnergy 对乌克兰以及电力控制系统的攻击并不是第一次了。 自 2007 年被首次披露以来, BlackEnergy 已经经历了多次的变种和升级,并且对乌克兰电力系统进行多轮次的“狂轰滥炸”。国外安全机构发布的研究资料还显示,2016 年,BlackEnergy 还在继续对乌克兰境内的多个工业系统发动攻击,并且在 2016 年的 12 月,又再次造成了乌克兰某电力企业的一次小规模停电事故。下表给出了 BlackEnergy 发展的简要历程。
| 年份 | 事件概要 |
|---|---|
| 2007 | Arbor 公司首次披露一个在 DDoS 攻击中被用来创建僵尸网络的工具 BlackEnergy,该版本一般被称之为“BlackEnergy 1” |
| 2008 | 俄格冲突期间,一些身份不明的黑客针对格鲁吉亚的网络系统发动 了 DDoS 攻击,BlackEnergy 被用于创建僵尸网络 |
| 2009 | 有黑客利用BlackEnergy 盗取美国 Citibank 数千万美元 |
| 2010 | 戴尔旗下安全公司 SecureWorks 发布配备 Rootkit 的 BlackEnergy 变 种,该版本一般称之为“BlackEnergy 2” |
| 2011 年 7 月 | ESET virusradar 研究显示,BlackEnergy 在全球活动达到高峰 |
| 2013 年 10 月 | BlackEnergy 支持 64 位操作系统 |
| 2014 年 9 月 | F-Secure 发现了为乌克兰政府量身打造的BlackEnergy 新变种,该版 本一般被称之为“BlackEnergy 3” |
| 2014 年 10 月 | 有报道称,BlackEnergy 开发团队,疑似沙虫组织,针对北约、乌克 兰和波兰政府、欧洲各重要工业系统进行了攻击 |
| 2014 年 10 月 | ICS-CERT 警告 ICS 和 SCADA 中存在高危漏洞,并发现攻击者使用 BlackEnergy 2 攻击 SCADA HMI(人机接口)系统 |
| 2014 年 11 月 | 卡巴斯基称,BlackEnergy2 已经可以对路由器、Linux 系统、Windows 系统发起攻击,且能够攻击 Cisco 思科设备和 ARM 及MIPS 平台 |
| 2015 年 11 月 | 乌克兰一家矿业公司和一家大型铁路公司的系统中发现感染了 BlackEnergy 和 KillDisk |
| 2015 年 11 月 | CERT-UA 首次将 BlackEnergy 和 KillDisk 关联在一起。当时正值 2015 乌克兰大选,多家新闻媒体公司被攻击,许多视频和文档资料被毁 |
| 2015 年 12 月 | 乌克兰电网被攻击,引发大规模停电事件,引发关注 |
| 2016 年 1 月 | CERT-UA 通报称乌克兰最大机场基辅鲍里斯波尔机场遭受 BlackEnergy 攻击 |
| 2016 年 1 月 | 卡巴斯基研究人员发现新型针对乌克兰的 BlackEnergy 文档类攻击, 使用 Word 攻击乌克兰电视台 STB |
| 2016 年 12 月 | 乌克兰的国家电力部门疑似被网络攻击,导致其发生了又一次的大规模的停电事件,本次停电持续了大约 30 分钟。此次停电事件疑似由“外部干扰”所导致的,恶意攻击者通过网络对公司电力系统进 行了非法操作。 |
BlackEnergy 的发展历程
乌克兰电力系统遭到的持续攻击,引起了世界各国安全行业和政府的高度重视。实际上,全球几乎所有的电力公司所使用的工业控制系统都十分类似,操作系统也都以 Windows 居多,底层的硬件更是垄断在为数不多的几个大公司手中,因此,我们预期类似的攻击很有可能会在其他国家和地区重现。
(二)沙特大赦之夜攻击事件
据媒体报道,2016 年 11 月 17 日晚,也就是伊斯兰教的大赦之夜(Lailat al Qadr),包括 GACA(沙特国家民航总局)在内的至少 6 家沙特重要机构遭到了严重的网络攻击。受害者的电
脑系统中大量文件和数据被损毁,代之以一张 2015 年 9 月 2 号溺水的叙利亚难民男孩 Alan Kurdi 的照片。
研究者们将此次攻击行动调查中截获的恶意程序样本命名为 Shamoon2.0,同时也将此次攻击行动命名为 Shamoon2.0,因为研究人员们发现,被截获的攻击样本实际上是 2012 年被发现的 Shamoon 程序的一个变种。
2012 年 8 月 15 号,在针对沙特石油巨头 Saudi Ameraco 的网络攻击中,Shamoon 恶意程序首次现身。攻击发动的时候,正值该公司员工休假期间,该公司大约 3 万多台电脑上的文件都遭到损毁。事后,有一个自称 Cutting Sword of Justice 的组织宣布为此次事件负责,但是根据当时多家安全机构的分析,此次攻击应该是一个来自伊朗的有国家背景的黑客组织所为。
所以,尽管媒体在报道 2016 年 11 月发生的这次网络攻击事件中,并未详细报道更多受害者的具体信息,也未对受害者遭受的具体损失做详细的说明,但参考 2012 年的 Shamoon 攻击事件以及 Shamoon2.0 与 Shamoon 的相似性,我们大致可以猜测出: 此次攻击事件中的主要受害者应该是沙特的工业系统或工业部门,而受害者的主要损失就是大量系统文件与系统数据被恶意删除,致使工业系统无法正常运行。
Shamoon,又称 Disttrack,是一款模块化恶意程序,具有很强的毁坏性,能够导致目标网络完全瘫痪。此前共发生了两次由 Shamoon 引起的网络攻击事件(其中一次为疑似案例),而攻
击目标都是沙特。
Shamoon 使用的模块程序分为三类:分别是投放器(Dropper)、通讯组件(Communications)和擦除组件(Wiper components)。 Shamoon 不仅仅会对目标进行数据的收集,还具有很强的破坏性
——即程序内部存在定时器,当系统时间超过设定的时间, Shamoon 就会用无用的数据,例如特定的 JPEG 图片,来覆盖磁盘(包括 MBR、分区表和分区),导致磁盘数据的损毁和被攻击系统的瘫痪。
实际上,Shamoon 在 2012 年和 Shamoon2.0 在 2016 年的攻击中都用了 JPEG 方法:2012 年的攻击中使用的是燃烧着的美国国旗,而 2016 年的攻击中出现的图片是 2015 年 9 月 2 号溺水的叙利亚难民男孩 Alan Kurdi。
两次攻击的恶意程序编写方式也十分相似,使用了同一个RawDisk 设备驱动(临时的证书密钥都一样),投递器在释放恶意程序组件时,会从资源中的特定位置读取字节数并且用 Base64 编码的密钥来解密,在与从资源中获取的 Byte 串进行异或操作, 拼接后获取完整的程序。
Shamoon 本身还会尝试通过当前的权限来访问当前系统的活动目录,相同域及局域网上的其他主机,进行横向移动。Shamoon 的横向移动可能导致的最严重情况是整个目标网络的大规模瘫痪。
特别值得一提的是,Shamoon2.0 的恶意破坏性要比 Shamoon 更加明显。在先前的 Shamoon 攻击中,恶意样本会首先窃取用户数据并上传到 C&C 服务器上之后,才会执行文件删除或覆盖操作, 这就使我们在理论上有可能通过阻断网络或限制 IP 访问等方法 来阻止 Shamoon 的破坏行为。但 Shamoon2.0 的攻击者却在程序
中填写了一个完全不可达的 C&C 服务器地址,并在程序中编码了定时器时间为 2016 年 11 月 17 日晚 8:45。这就使得 Shamoon2.0 俨然成为了一颗“定时炸弹”,一旦成功投放,就几乎一定会“爆炸”。
下图给出了 Shamoon 的基本攻击原理。可以看到,投递器投递成功后,通讯组件被释放并且执行后开始与 C&C 服务器进行通讯,其通信过程使用的是 HTTP 协议。但 Shamoon2.0 与之前的版本存在区别,之前的 Shamoon 是将用户的数据上传到 C&C 服务器当中;但是 Shamoon2.0 中,C&C 服务器的地址却被填写成一个不可达的地址:1.1.1.1:8080。
域或者局域网横向移动
投递器 域
从资源中
释放
通讯组件 擦除组件
接收CC指令
上传数据
从资源中释放
![
磁盘擦写驱动
用户磁盘
总体而言,Shamoon 与 Shamoon2.0 具有很强的相似性,不仅是攻击的目标国家相似,选取的攻击时间点存在共性(休假期间),而且具体实现技术和攻击原理也都十分相似。因此,多数研究者认为,Shamoon 与 Shamoon2.0 的攻击应为同一黑客攻击
组织。
二、 针对金融系统的犯罪
2016 年上半年接连发生了以孟加拉国央行为代表的银行被盗事件,受害者损失高达数千万美元。随后,下半年又接连发生 了以台湾第一银行 ATM 吐钞事件为代表的一系列 ATM 机攻击事件。而一个以合法软件开发企业为伪装的,以不当盈利为目的的,长期从事敏感金融交易信息窃取活动的境内 APT 组织“黄金眼”, 也在 2015 年底至 2016 年初被截获。在这些攻击中,我们可以看到,即便是在理论上隔离的,防护级别极高的金融系统中,网络 攻击依然可以发生,而且危害巨大。
(一)多国银行被盗事件
2016 年初,媒体陆续曝出了孟加拉、厄瓜多尔、越南、菲律宾等多个国家的银行系统曾经遭遇黑客攻击的消息。尽管这些攻击事件的发生时间不尽相同,但它们都有一个共同特点,就是攻击者都瞄准了 SWIFT 银行间转账系统,并利用这一系统存在的某些“特点”来发动攻击并销毁证据。下表给出了部分攻击事件的发生时间和损失情况。
| 攻击时间 | 被攻击银行 | 计划窃取 | 实际损失 |
|---|---|---|---|
| 2013 年 | 索纳莉银行 (Sonali Bank) | 未知 | 25 万美元 |
| 2015 年 1 月 | 厄瓜多尔银行 (Banco del Austro) | 未知 | 1200 万美元 |
| 2015 年 10 月 | 疑似菲律宾某银行 | 未知 | 未知 |
| 2015 年 12 月 | 越南先锋银行 (Tien Phong Bank) | 120 万欧元 | 无 |
| 2016 年 2 月 | 孟加拉国央行 (Bangladesh Central Bank) | 9.51 亿美元 | 8100 万美元 |
| 未知 | 疑似香港某银行 | 未知 | 未知 |
| 未知 | 疑似菲律宾、新西兰某银行 和其他 10 多家金融机构 | 未知 | 未知 |
BlackEnergy 的发展历程
- 孟加拉国央行(Bangladesh Central Bank)
2016 年 2 月 5 日,孟加拉国央行被黑客攻击导致 8100 万美元被窃取。攻击者通过网络攻击或者其他方式获得了孟加拉国央行 SWIFT 系统操作权限,随后,攻击者向纽约联邦储备银行
(Federal Reserve Bank of New York)发送虚假的 SWIFT 转账指令,而孟加拉国央行在纽约联邦储备银行上设有代理帐户。纽约联邦储备银行总共收到 35 笔,总价值9.51 亿美元的转账要求,
其中 30 笔被拒绝,另外 5 笔总价值 1.01 亿美元的交易被通过。
而这其中又有 2000 万美元因为拼写错误被中间行发觉而被找回,
而另外 8100 万美元则被成功转走盗取。
而我们捕获到的这次网络攻击所使用的恶意代码,其功能是篡改 SWIFT 报文和删除相关数据信息以掩饰其非法转账的痕迹。其中攻击者通过修改 SWIFT 的 Alliance Access 客户端软件的数据有效性验证指令,绕过相关验证。
- 越南先锋银行(Tien Phong Bank)
2015 年 12 月 8 日,越南先锋银行遭黑客攻击,其攻击手法与孟加拉央行遭到的攻击类似。攻击者最终从越南先锋银行盗走了约 120 万欧元。
360 追日团队也捕获了攻击越南先锋银行的恶意程序样本。相关恶意代码内置了 8 家银行的 SWIFT CODE,越南银行均在这些银行中设有代理帐户。目前看到的Fake PDF Reader 样本的目的并不是攻击列表中的这些银行,而是用来删除越南先锋银行与其他家银行间的转帐确认消息(篡改 MT950 对帐单)。这样银行的监测系统就不会发现这种不当交易了。
关于针对越南先锋银行攻击的详细分析,可以参见 360 追日团队此前发布的报告:《SWIFT 之殇——针对越南先锋银行的黑客攻击技术初探》。
- 厄瓜多尔银行(Banco del Austro)
据路透社报道,2015 年 1 月 12 日,在一条来自厄瓜多尔银行系统信息的指引下,位于旧金山的 Wells Forga 美国银行向某个香港的银行账户进行了转账。并且在接连 10 天内,至少有 12 笔厄瓜多尔银行资金通过 SWIFT 系统被转走,总金额高达 1200 万美金。厄瓜多尔银行已就该事件将 Wells Frago 告上了纽约法庭,理由是 Wells Forgo 美国银行本应该将这些交易标记为可疑交易。然而从诉讼资料看,双方银行都相信这些资金是被匿名黑客盗走的。
另外,SWIFT 方面的负责人在案件被报道之前却对此毫不知情。相关人士称,SWIFT 确实会核验系统发送信息中的密码来确保信息来自银行用户的终端设备。但是一旦网络盗窃者获取了密码和证书,SWIFT 就无法判断操作者是不是真正的账户持有人了。而黑客正是钻了这个空子,盗取了一名银行雇员的 SWIFT 证书, 进而盗走了巨额资金。
- 索纳莉银行(Sonali Bank)
据路透社报道,2013 年孟加拉国的索纳莉银行(Sonali Bank) 也发生了类似孟加拉央行的攻击事件。在索纳莉事件中,攻击者 共盗取了 25 万美金的银行资金。银行 IT 运营部的高级官员称, 在索纳莉银行劫案中,黑客们在一台电脑上安装 keylogger 来窃取其他系统的密码,然后使用 SWIFT 系统发送伪造的转账申请。
- 攻击事件的相似性分析
通过分析从2013 年的索纳莉银行到2016 年的孟加拉国央行
这 4 起攻击银行的事件,不难看出相关攻击事件之间有很多的相似性。
从攻击战术或攻击流程来看,攻击者的攻击过程主要由三个环节组成:获得 SWIFT 权限,利用 SWIFT 发送转账指令,最终清除证据掩盖事实。下面就来分别展开分析一下。
- 获得目标银行 SWIFT 权限
攻击者首先需要获得目标银行的 SWIFT 系统操作权限。从相关报道来看,在索纳莉银行和厄瓜多尔银行攻击事件中,攻击者均是通过网络黑客技术来获得相关权限。特别是索纳莉银行攻击事件中,可以确定 SWIFT 相关登录帐号和密码是被植入的恶意程序所监控窃取。
可以看出,攻击者要获得 SWIFT 操作权限,并不一定需要与银行内部系统进行物理接触,完全可以通过网络攻击来完成。而目前尚未有报道明确指出孟加拉国央行的 SWIFT 系统权限是如何被盗取的,但调查孟加拉央行事件的研究人员则表示,应该是黑客利用网络攻击获得了相关登录凭证。而越南先锋银行的情况略有不同。该银行系统本身并没有被攻击,问题出在其第三方服务商(提供 SWIFT 服务)身上,但目前尚不清楚攻击者是否是通过网络攻击的方式获得了相关 SWIFT 操作权限的。越南先锋银行表示之后要改为直接连接 SWIFT 系统。
- 向其他银行(代理帐户)发送转账指令
攻击者在获得 SWIFT 权限之后,最核心的目的就是要利用SWIFT 发送转账指令。我们推测攻击者发送的应该是 SWIFT MT 报文中的第一类报文,如 MT103(单笔客户汇款)。除索纳莉银行以外,我们发现攻击者均向存在目标银行代理帐户的银行发送
了转账指令,如美国 Wells Forga 银行设有厄瓜多尔银行的代理帐户;大华银行等其他 7 家银行设有越南先锋银行的代理帐户; 纽约联邦储备银行设有孟加拉国央行的代理帐户。通俗来讲也就是孟加拉国央行等这几个目标银行存在其他银行上的钱被冒名转走了。
3) 篡改 MT9XX 报文清除证据
由于我们暂未捕获到针对索纳莉和厄瓜多尔银行进行攻击的恶意样本,这里主要分析对越南先锋银行和孟加拉国央行攻击事件的追踪。
首先,攻击者都是对 MT9XX 报文进行了劫持:对越南先锋银行的攻击是劫持 MT950 对帐单,对孟加拉国央行的攻击则是劫持了 MT900 借记证实。
其次,两次攻击事件中,攻击者都对相关报文进行了篡改, 目的是删除相关转帐记录,进行平帐。而两次攻击事件的区别是: 孟加拉国央行事件中是对相关报文篡改后直接发送给打印机打印出来;而越南先锋银行事件中则是对 MT950 的电子版 PDF 文件进行篡改,然后再把 PDF 文件发给打印机打印。但不论怎样,攻击者最终目的就是篡改报告,另外删除其他一些数据信息,从而抹去相关证据线索。
另外,我们还发现,在越南先锋银行事件和孟加拉国央行事件中,攻击者所使用的恶意代码,都存在一个特殊的安全删除函数,这也更进一步证明了这两次攻击事件的同源性,它们并不是孤立的,两者之间有一定联系。
(二)ATM 机盗窃事件
与前述的利用 SWIFT 机制进行跨国银行盗窃的攻击手法相
比,针对 ATM 机的攻击,风险则要大了很多。因为攻击者最终必须现身于 ATM 机前提取现金款。这也就给警方侦破案件,抓捕犯罪分子留下了更多的机会。
- 台湾第一银行(First Bank)
2016 年 7 月 12 日,台湾第一银行发布公告《第一银行 ATM 遭异常盗领客户权益不受影响》表示“第一银行部分分行 ATM 提款机遭异常盗领,作案过程约 5-10 分钟,交易集中在 7 月 9 日
和 7 月 10 日,共计遭盗取的金额约 7000 多万新台币,20 家分行共 34 台 ATM 发生异常……可能遭植入恶意软件驱动吐钞模块执行吐钞”。
后经第一银行清算核实,全台共有 41 台 ATM 遭到盗领,被盗金额 8327 余万元。这是台湾首宗银行遭跨境黑客盗领案。后经台湾警方侦破追捕,抓获罗马尼亚籍和摩尔多瓦籍共犯各一人, 追回赃款 6050 万元。后续调查还显示,此次攻击中,攻击者是通过攻击补丁更新服务器,向 ATM 机下发恶意程序的,这些恶意 程序会开启 ATM 远程控制服务(Telnet Service),使藏身在海外的幕后操控者可以操控 ATM 机“吐钞”。
此次事件中遭攻击的 ATM 机,全部是来自德利多富(Wincor) 公司的同一款机型(pro cash1500 机型),目前该款机型已全面暂停服务。据了解,德利多富(Wincor)的产品涉及银行业及零售业,提供包括现金类自助设备和非现金类自助服务终端及其解决方案,代表硬件产品包括自动取款机、存取款一体机、多媒体服务终端、存折打印机等,业务遍及 130 多个国家。
在对相关攻击事件的分析中,我们发现攻击者并没有使用银行卡和对 ATM 机操作等,即攻击者无需物理接触 ATM 机,就能实现 ATM 机自动吐钞目的。这点攻击现象引起了我们的注意,以往
攻击 ATM 的事件并不少见,但能达到不进行物理接触而使 ATM 吐钞的攻击,还是比较少见的。
- Anunak 组织(即 Carbanak)
不过,在台湾第一银行 ATM 机吐钞事件之前,也有其他攻击组织曾经实施过这种针对 ATM 机的非接触式攻击。其中最为著名的 APT 组织就是 Anunak(即 Carbanak)。
Anunak 组织的攻击活动始于 2013 年,该犯罪团伙总计向全球约 30 个国家和地区的 100 家银行、电子支付系统和其他金融机构发动了攻击,相关攻击活动还很活跃。在《2015 年中国高级持续性威胁(APT)研究报告》中我们也提到了 Anunak。通过研究分析该组织相关攻击手法和意图,我们将该组织视为针对金融行业的 APT 组织。
Anunak 组织攻击的一般过程是:首先,通过极具针对性的攻击手法,入侵金融机构员工的计算机或银行网络;随后,通过内部网络,对计算机进行视频监控,从而查看和记录负责资金转账系统的银行员工的屏幕;最后,当攻击者了解到银行相关员工工作的全部详情后,就会模仿银行员工的行为进行恶意操作,盗取银行资金。
另外该组织还可以控制银行的 ATM 机,命令这些机器在指定的时间吐出现金。当到支付时间时,该组织会派人在 ATM 机旁边等待,以取走机器“主动”吐出的现金。
通过将 Anunak 的攻击手法与台湾第一银行吐钞事件进行对比,我们发现,二者之间有很多相似的地方,具体如下表所示:
| 台湾第一银行 | Anunak(即 Carbanak) | |
|---|---|---|
| 幕后组织 | 攻击者来自俄罗斯 | 攻击者来自俄罗斯 |
| 攻击方式 | 利用恶意程序 | 利用恶意程序 |
| 植入方式 | 攻击补丁更新服务器 | 攻陷银行内网,到获得 ATM 权限 |
| ATM 品牌 | Wincor | Wincor |
| 吐钞方式 | 突破取款上限,连续吐钞 | 突破取款上限,连续吐钞 |
| 取现方式 | 指定时间,无需物理接触 | 指定时间,无需物理接触 |
| 攻击规模 | 40 台 ATM | 52 台 ATM |
| 窃取金额 | 8000 万新台币 | 5000 万卢布 |
台湾第一银行吐钞事件与 Anunak 攻击特点的对比
- 泰国邮政储蓄银行
2016 年 8 月,泰国政府储蓄银行发现,从当月的 1 日至 8 日,全国共有 21 台 ATM 机中的现金被盗。这些被盗的 ATM 机分别分布在曼谷、 普吉岛、 春蓬、 巴蜀、 碧武里和素叻他尼等地。获悉此事后,泰国中央银行(Central Bank of Thailand , BoT)向全国的商业银行发出安全警告,关闭了全国约 3300 台ATM 提款机。
通过对 ATM 机内部摄像头捕获信息的分析,泰国警方确认此次事件中的犯罪团伙属于外籍人士。随后,泰国警方逮捕了三名犯罪嫌疑人,据这些犯罪嫌疑人交代,他们组织大约有三十名东欧人,其中大部分人都在 ATM 机领域有多年的工作经验,同时, 组织内部还有三名俄罗斯人。
该犯罪团伙的主要攻击手法是:通过插入特别制造的 ATM 卡
(带有 EMV 芯片),将恶意程序 Ripper 植入到 ATM 机中。恶意程序一方面会让 ATM 机每次吐钞 4000 泰铢,另一方面会使 ATM 机与银行网络断开,从而使 ATM 机在吐钞时不会被发现。
据调查,该犯罪组织通常是在深夜集体出动,相互配合作案。在 8 月的 1 日-8 日期间,该组织累计从泰国各地的 ATM 机上取走了大约 1229 万泰铢(约合 346,000 美元)。
- 针对 ATM 机的各种攻击
由于 ATM 机通常是处于一个相对隔离的网络环境中,因此, 在对 ATM 机发动攻击时,如何植入恶意代码就成为了一个关键问题。目前已知的主要攻击手法有以下两类:
- 入侵银行内部网络,获得 ATM 机控制权限
- 通过光驱、USB 接口等直接对 ATM 机进行操作
另外,攻击 APT 机器的恶意程序也不一定只是让机器吐钞, 也有一些恶意程序会通过 ATM 机暗中收集银行卡持卡人的数据信息。
下表给出了部分专门攻击 ATM 机的恶意程序的攻击方式对比。
| 出现 时间 | 恶意程序 名称 | 植入需要 的媒介 | ATM 机 接口 | 攻击 目标 | 目的 | 物理 接触 |
|---|---|---|---|---|---|---|
| 2009 | Skimer | 特制的银行卡 | 读卡器 | 银行 持卡人 | 盗取现金、银 行卡数据 | 是 |
| 2013 | Ploutus | 手机 | USB | 银行 持卡人 | 盗取现金、银 行卡数据 | 是 |
| 2013 | Anunak Carbanak | 攻陷银行网络 | 银行 | 盗取现金 | 否 | |
| 2014 | Tyupkin Padpin | 可引导光盘 | 光驱 | 银行 | 盗取现金 | 是 |
| 2015 | Green Dispenser | 内部人员植入 | 银行 | 盗取现金 | 是 | |
| 2015 | SUCEFUL | 未知 | 持卡人 | 盗取现金、银 行卡数据 | 未知 | |
| 2016 | Ripper | 攻陷银行网络 | 银行 | 盗取现金 | 是 |
部分针对 ATM 机的恶意程序的攻击方式对比
(三)黄金眼行动事件
2015 年 12 月,360 安全服务团队基于日常的应急响应记录结合云端大数据,发现一系列针对金融机构的定向攻击事件,360 安全服务团队联合 360 追日团队对此事件展开了深入调查。
调查结果显示,攻击者是一个以合法软件开发企业为伪装的, 以不当盈利为目的的,长期从事敏感金融交易信息窃取活动的境 内 APT 组织。其攻击水平和反侦察能力均达到了国家级水平,甚至超出了很多境外的 APT 组织。该组织的活动时间至少长达 12 年以上,遭到该组织长期攻击的金融机构涉及多家。
鉴于该组织是一个专门针对金融系统发动攻击的 APT 组织, 我们将该组织及其发动的攻击行动命名为“黄金眼”,组织及行动编号 APT-C-19。
调查显示,黄金眼行动最早可以追溯到 2004 年,相关攻击
活动分别在 2012 年和 2014 年呈现两次高峰,且 2014 年的攻击
强度远远超过 2012 年。其主要攻击对象为:基金、证券、保险、理财和资产管理等多种类型的境内金融机构,还包括一部分的个人股民。
黄金眼行动使用了一整套恶意代码对目标系统实施入侵和控制,并可跨越所有 Windows 平台发动攻击。相关攻击工具经过了长期不断的版本升级和功能演化。黄金眼行动还具有极强的反侦察能力,相关攻击代码在被释放出来之前也做了必要的清理。
黄金眼行动的恶意代码,其架构之复杂,功能之完善,反侦察能力之强大,以及持续改进的繁多版本,显示出该组织开发运维的高度专业性。
此外,我们也发现,即便仅仅从对金融业务的熟悉程度来看,
黄金眼行动也具有高度的专业性。我们有理由认为,该 APT 组织实际上是由一群计算机专家和熟悉金融业务的人员共同组成。
从攻击目的来看,黄金眼行动主要是通过恶意程序窃取其他金融机构的敏感交易信息,进而将这些交易信息作为投资情报, 用于不当的投资活动并赚取非法超额利润。
延伸阅读
更多内容 可以 360 全球关键信息基础设施网络安全分析报告. 进一步学习