不仅是中国导航首宗金融机构遭跨境电商网络黑客盗领案，跨境电商黑客攻击全国各地的ATM，渗入超越家金融机构，最少有30个我国及地区被害，盗取的额度，约莫现有三亿美米，且至今疑案未破。那麼，网络黑客到底是怎祥进攻的？文中尝试复原全部事项过程，创作者系追日精英团队。

|序言

年10月中，在我国中国导航地区的中国导航第一银行集团旗下20好几家支行的41台ATM机遭受黑客入侵，失窃多万台币，如今此案早已查获，抓捕嫌疑人并讨回大单位失窃款子。追日精英团队对这起对于ATM机的黑客入侵盗窃事项举办了分析，复原了全部事项的过程，分析了黑客入侵技巧和过程，并由此出示了安全提议。

|事项过程

中国导航第一金控集团旗下第一银行（First Bank）是在我国中国导航地区（下称中国导航）的一所大中型银行业，这家银行于6月初发布无卡提现服务项目。（下列单位內容节选自台媒的当众报导）

年7月11日：

中国导航警察收到群众举报，提示见到有些人在实际操作ATM时，个人行为古怪，随后ATM有未知吐钞情况。

年7月12日：

第一银行发布消息《第一银行ATM遭异常盗领客户权益不受影响》提示“第一银行单位支行ATM取款机遭出现异常盗领，犯案过程约5~十分钟，交易集中化在7月9日和7月10日，如今此案总共遭窃取的额度约多万米台币，20家支行共34台ATM产生出现异常，如今已重要警报应急处置。开始领悟很有可能遭嵌入恶意程序驱动器吐钞控制模块实行吐钞，全是“中国十大品牌”德立多富（Wincor）企业的统一型号（pro cash型号），如今这款型号已全面暂停服务。”“中国十大品牌”德立多富（Wincor）的物质涉及到商业银行及零售业，在商业银行囊括现钱类自助式武器装备和货币性类自助服务终端终端设备以及解决方法，意味着硬件配置物质如atm机、atm一体机、多媒体系统服务项目终端设备、银行存折复印机等；运营普及化好几个我国和地区。而在这里起中国导航抢劫案中，被匪徒进攻的ATM实际上是年久型号，在ebay拍卖网站上要是美金就能购到。

后经第一银行梳理核查，全台现有41台ATM遭受盗领，失窃额度多万米。它是中国导航首宗金融机构遭跨境电商网络黑客盗领案。

年7月17日：

中国导航警察传达称，根据读取监控视频等方式，锁住此案16名嫌疑犯及1名关联平均来源于海外，在其中13人已离台，并于17日在宜兰抓捕首犯爱沙尼亚籍小伙麦金尼斯，那天晚上又在台北市抓捕爱沙尼亚籍和摩尔多瓦籍共同犯罪各一人，讨回脏款万余米。核查，这伙嫌疑犯自7月6日起以旅游为名分次从土尔其、中国香港等地进到中国导航，9日至11日各自到台北、导航新北市、台中等地，以1人至三人为一组，履行恶意代码侵入第一银行ATM，随后根据通信软件远程遥控ATM全自动吐钱，其他同犯则拼命领取奖励、把风。作案后，13名嫌疑犯快速离台。已讨回的万现金，被储放在台北市地铁站，嫌疑犯根据“资源秘密通告点”（dead drop）的方法将单位现钱以“旅行箱存放”的方法储放。17日夜间，导航阅批“警政署长”陈国恩提示，跨境电商黑客攻击全国各地的ATM，渗入超越家金融机构，最少有30个我国及地区被害，盗取的额度，约莫现有三亿美米，且至今疑案未破。

年7月18日：

中国导航《联合报》报导称，观查局导航新北市调解安全员工查出来有恶意软件根据一银伦敦支行，入侵中国导航总公司。警察已提醒谈话第一银行纽约支行信息内容负责人、第一银行中国导航信息内容单位拼命人及ATM生产商总公司意味着等三人，为查明是不是有内鬼干预盗领案。在那天晚上10点举办的记者招待会上，导航新北市观查局强调，第一银行的ATM机械设备程序流程升级，是由內部下达服务器、网络服务器全自动下达到各ATM。7月4日，侵略者假冒更新软件并下达至第一银行各ATM，打开ATM远程操作服务项目(Telnet Service)。直至7月9日侵略者再远程登陆，提交ATM操纵程序流程后，实行检测吐钞电源开关，经“钱骡”检测乐成后，藏匿在国外的背后操纵者，就最开始规模性远程遥控举办吐钞，由各就各位的“钱骡”领到脏款。进行盗领后，远程操控者再将掩藏管理程序、记录文本文档、实行文本文档全部解决。观查员工另外得出了第一银行黑客攻击的流程表，详尽以下：

审理案件员工另外查出来，对第一银行ATM下发吐钞命令的恶意软件，竟来源于第一银行伦敦支行台式电脑主机和两个储存录音的电脑硬盘，在其中一个早已毁损。开始分辨，违法犯罪团队先黑入音频电脑硬盘，获得台式电脑主机的最大权限，然后在ATM电脑硬盘内嵌入恶意软件，再派遣外国籍嫌疑犯入关中国导航盗领现钱。观查员工行为，盗领团队很可能在纽约另有别的共同犯罪，都不清理是第一银行奸细所做的很有可能。

年7月20日：

台北警察确认，已以内湖山区地带寻找万现钱。麦金尼斯18日夜里依据标示抵达西湖公园，但他等了一天也没有人来提款，因而就将这种现钱藏在垃圾池中。台北市警察根据回应麦金尼斯的行动轨迹，最后找到这种现钱。一名晨炼老年人在西湖公园四周地下停车场捡到配有万余米的电脑包，他将这种钱捡回家了，夜间向警察举报。截止到21日，去除案犯的职业生涯花销，仍大约万脏款失踪。

|事项分析

7月12日夜间，导航新北市相关观查单位公布了此次进攻第一银行的恶意程序基本信息：文件夹名称、MD5 和作用概述。在其中sdelete.exe程序流程是微软公司出示的一切正常可靠程序流程。

在对有关进攻事项的分析中，追日精英团队发觉网络攻击并沒有应用储蓄卡和对ATM实际操作等，不用物理学触碰ATM，则能完成ATM吐钞抵达取款的目地。这一点进攻迹象造成了大家的重视，过去进攻ATM的事项并许多见，但能抵达不举办物理学触碰而促使ATM吐钞，是对比罕见的，只要很多年前现有科学研究员工明确提出并认证了这一基础理论。

年7月28日，Black Hat大大会上，那时候就职于IOActive的Barnaby Jack展现了他很多年来对ATM机程序编码的科研成果， 乐成演试侵入安裝有二种区别系统软件的ATM自动取款机并就地让ATM自动取款机吐掏钱，他称作“jackpotting”。在现场，它用了二种方法律ATM机吐纸币，一种必须物理学触碰ATM，而另一种则彻底在远程控制实行全自动进攻 。二种方法均必须恶意程序浸染机械结构，用于实行网络攻击的虚情假意命令。详尽方法以下：

l物理学触碰进攻：网络攻击充分行使对目地机械设备的所有权，插进特别制作的U盘，随后履行恶意程序操纵互联网并一声令下机械设备吐钱。

l远程控制进攻：网络攻击履行远程控制智能管理系统的漏洞，安裝恶意程序，大部分情况下是履行远程控制智能管理系统的默认设置用户名和密码、帐户PIN码和TCP端口。随后实行恶意程序，ATM会吐出来一定金额的现钱。

这一迹象使大家想到到以前发觉的Anunak（即Carbanak）进攻机构，该机构在进攻ATM时还可以抵达一样的实际效果，进一步大家根据分析Anunak（即Carbanak）和中国导航第一银行事项举办比照，发觉二者之间有较多类似的地区，详尽以下表所显示：

有关Anunak（即Carbanak）：

Anunak（即Carbanak）进攻机构，是一个海外互联网团伙犯罪。年起，该团伙犯罪累计向全世界约30个我国和地区的家金融机构、移动支付系统软件和别的金融企业启动了进攻，如今有关进攻流动性还很活跃性。在《年中国高级持续性威胁（APT）研究报告》中大家提及了Anunak，根据科学研究分析该机构有关进攻技巧和用意，大家将该机构视作对于金融业的违法犯罪型APT机构。

Anunak机构一样平时根据网络钓鱼、漏洞履行等方法进攻金融企业职工的电子计算机，从而侵入金融机构互联网。进一步网络攻击根据內部互联网，对电子计算机举办视频监控系统，查询和记录拼命资产转帐系统软件的银行职员的显示屏。根据这类方法，网络攻击能够体会到金融机构员工事儿的全部详细信息，进而仿真模拟金融机构员工的个人行为，窃取资产和现钱。

此外该机构还能够操纵、实际操作金融机构的ATM机，一声令下这种机械设备在特定的時间吐出現金。当到付款時间时，该机构会去人到ATM机边上等候，以拿走机械设备“全自动”吐出来的现钱。