【正文】 其 中 最 為 最著名的 APT 組織就是。 這 點(diǎn) 攻擊現(xiàn) 象 引起 了 我們的 注 意 ， 以往 攻 擊 ATM 的事件并不少 見 ， 但能達(dá)到 不 進(jìn)行物 理 接觸而使 ATM 吐鈔的攻 擊 ， 還 是比較少 見 的。 據(jù)了解， 德利多 富 （ Wincor） 的產(chǎn)品涉及銀 行 業(yè)及零 售 業(yè) ， 提 供包括現(xiàn) 金 類自助 設(shè) 備 和非現(xiàn)金 類 自助服 務(wù) 終端及 其 解決方案 ， 代 表硬件 產(chǎn) 品 包括自 動(dòng) 取款機(jī) 、 存 取款一體 機(jī) 、多媒 體 服務(wù)終 端 、存折 打 印機(jī) 等 ， 業(yè) 務(wù) 遍及 130 多 個(gè)國(guó)家。后 續(xù) 調(diào)查還 顯示，此 次 攻擊中 ， 攻擊 者 是 通過攻 擊 補(bǔ)丁更 新 服 務(wù) 器，向 ATM 機(jī)下發(fā)惡 意程序的 ， 這 些惡意 程 序會(huì)開啟 ATM 遠(yuǎn)程控制 服 務(wù) (Tel Service)， 使藏身 在海外的 幕 后操控 者 可以操控 ATM 機(jī) “ 吐鈔 ” 。 這是臺(tái) 灣 首宗銀 行 遭跨境 黑 客盜領(lǐng) 案 。初 步 了解可 能 遭植入 惡 意軟件 驅(qū) 動(dòng) 吐 鈔模塊執(zhí) 行 吐鈔 ” 。這也 就 給警方 偵 破案件 ， 抓捕犯 罪 分 子 留下了更 多 的機(jī)會(huì)。 二、 ATM 機(jī) 盜 竊事件 與前述 的 利 用 SWIFT 機(jī) 制進(jìn) 行 跨國(guó) 銀 行 盜竊的 攻 擊手 法 相 比 ，針對(duì) ATM 機(jī)的攻擊 ， 風(fēng)險(xiǎn)則要大 了 很 多 。 但不論 怎 樣 ， 攻擊者 最 終目的 就是 篡改報(bào) 告 ， 另外 刪 除其 他一些數(shù) 據(jù) 信息， 從 而抹去 相 關(guān)證據(jù) 線 索。 其次 ， 兩 次攻擊 事 件 中 ， 攻擊 者 都 對(duì) 相 關(guān) 報(bào)文進(jìn) 行了 篡改 ， 目 的是刪除 相關(guān)轉(zhuǎn)帳 記 錄 ， 進(jìn) 行平 帳 。 本 段 分析主 要 來 自 于對(duì)越南 先 鋒銀行 和 孟 加拉國(guó)央 行 攻擊事 件 的追蹤。 通俗來講也 就 是孟加 拉國(guó)央行 等 這幾個(gè) 目 標(biāo)銀行 存 在其他 銀 行上的 錢 被 冒 名轉(zhuǎn)走了。 我們推 測(cè) 攻擊者 發(fā) 送的應(yīng) 該 是 SWIFT MT 報(bào)文中的 第 一類報(bào)文， 如 MT103（單筆 客 戶匯款 ） 。 越南先鋒 銀 行表示 之 后要改 為 直接連接 SWIFT 系統(tǒng)。 而 越 南先鋒 銀 行 的情 況 略有不 同 。 由此我們 可 以得到 一 個(gè)信息 ， 就是攻 擊 者要獲得 SWIFT 操作權(quán)限，并 不一定需要與 銀 行內(nèi)部系 統(tǒng) 進(jìn)行物理 接 觸，完 全 可 以 通過網(wǎng)絡(luò)攻擊 來 完成。從相 關(guān) 報(bào)道來 看 ， 在索納莉 銀 行和厄 瓜 多爾銀 行 攻擊事 件 中 ， 攻 擊 者均是通 過 網(wǎng)絡(luò)黑 客 技 術(shù)來獲得 相 關(guān)權(quán)限 。 下 面就來分 別 展開分 析 一下。 （五） 攻擊事件 的 相似性 分析 通過分 析 從 2020 年的索 納 莉銀 行 到 2020 年的孟 加拉 國(guó)央行這 4 起攻擊 銀行的事 件 ，結(jié)合 下 圖，不 難 看出相 關(guān) 攻擊事 件 之 間 有很多的 相 似性。 在索納 莉 事件中 ， 攻 擊 者 共盜取了 25 萬 美 金 的銀行資 金 。 而 黑 客 正 是 鉆了這 個(gè) 空子 ， 盜取了 一 名銀行 雇員的 SWIFT 證書，進(jìn)而盜 走 了巨額 資 金。 相關(guān)人 士稱 ， SWIFT 確實(shí)會(huì)核驗(yàn)系 統(tǒng) 發(fā)送信 息 中的密 碼 來 確 保信息來 自 銀行用 戶 的 終端設(shè)備 。 然而 從 訴訟資 料 看 ， 雙方銀 行 都相信 這 些資 金 是被匿名 黑 客盜走的。 并 且 在接連 10 天內(nèi) ， 至少有 12 筆厄 瓜 多爾 銀 行資金通過 SWIFT 系 統(tǒng)被轉(zhuǎn) 走 ， 總金 額 高達(dá) 1200 萬美 金 。 關(guān)于針對(duì) 越 南先鋒 銀 行攻 擊 的 詳細(xì)分 析 ， 可以 參 見 360 追日?qǐng)F(tuán)隊(duì) 此 前發(fā) 布的報(bào)告 ： 《 SWIFT 之殤 ——針對(duì)越 南 先鋒銀 行 的 黑 客攻擊技 術(shù) 初探 》 。目 前 看到的 Fake PDF Reader 樣本的目的并不 是 攻擊列 表 中 的這些銀行，而是用來刪除越 南 先鋒銀行與 其 他 家 銀行間的轉(zhuǎn)帳確 認(rèn) 消息 （篡改 MT950 對(duì)帳 單 ） 。 360 追日 團(tuán) 隊(duì)也捕 獲 了攻擊 越 南先鋒 銀 行的惡 意 程 序 樣本。 （二） 越南先鋒 銀 行（ Tien Phong Bank） 2020 年 12 月 8 日 ， 越南先 鋒 銀行遭 黑 客攻擊 ， 其 攻 擊手法與 孟 加拉央 行遭到的 攻 擊類似 。 而我們捕 獲 到的這 次 網(wǎng)絡(luò)攻 擊 所使用 的 惡意代 碼 ， 其 功能是篡改 SWIFT 報(bào)文和刪除相關(guān)數(shù)據(jù)信息以掩飾其非法轉(zhuǎn)賬 的 痕 跡 。 紐約聯(lián) 邦 儲(chǔ)備銀 行 總共收到 35 筆 ， 總 價(jià) 值 億 美 元的轉(zhuǎn) 賬 要 13 2020 年中 國(guó) 高級(jí)持 續(xù) 性威 脅 （ APT） 研究報(bào)告 求，其中 30 筆 被拒絕 ， 另外 5 筆 總 價(jià)值 億 美 元 的交易被 通 過 。 攻擊時(shí)間 被攻擊銀行 計(jì)劃竊取 實(shí)際損失 2020 年 索納莉銀行 （ Sonali Bank） 未知 25 萬美元 2020 年 1 月 厄瓜多爾 銀 行 （ Banco del Austro） 未知 1200 萬美元 2020 年 10 月 疑似菲律 賓 某銀行 未知 未知 2020 年 12 月 越南先鋒 銀 行 （ Tien Phong Bank） 120 萬歐元 無 2020 年 2 月 孟加拉國(guó) 央 行 （ Bangladesh Central Bank） 億美元 8100 萬美元 未知 疑似香港 某 銀行 未知 未知 未知 疑似菲律賓 、 新西 蘭 某銀行 和其他 10 多 家金融 機(jī) 構(gòu) 未知 未知 表 6 BlackEnergy 的發(fā)展歷程 （一） 孟加拉國(guó) 央 行（ Bangladesh Central Bank） 2020 年 2 月 5 日，孟加拉國(guó)央行被 黑 客攻擊導(dǎo)致 8100 萬美元被竊取。 盡管 這 些 攻 擊事件 的 發(fā) 生時(shí)間 不盡 相同，但 它 們都有 一 個(gè)共同 特 點(diǎn)，就 是 攻擊 者 都 瞄 準(zhǔn) 了 SWIFT 銀行間轉(zhuǎn)賬 系統(tǒng) ， 并利用 這 一系統(tǒng) 存 在的某 些 “ 特點(diǎn) ” 來發(fā)動(dòng) 攻 擊并銷毀 證 據(jù) 。 在 這些攻擊 中 ， 我 們 可以看 到 ， 即 便是在 理 論上隔 離的 ， 防護(hù) 級(jí) 別極高 的 金融 系統(tǒng)中， 網(wǎng) 絡(luò)攻擊 依 然 可以 無 孔不入 ， 而且危 害 巨 大 。 隨后 ， 下 半 年又接連 發(fā) 生了以 臺(tái)灣 第一銀行 ATM 吐鈔事件為 代 表的一 系 列 ATM 機(jī)攻擊事件 。 12 第四章 針對(duì)金 融 系統(tǒng) 的 犯罪 2020 年可 以 稱得上 是 一個(gè)全 球 銀行機(jī) 構(gòu) 的網(wǎng)絡(luò) 災(zāi) 害 年 。 域 或 者 局 域 網(wǎng) 橫 向 移動(dòng) 投 遞 器 域 從 資 源中 釋放 通 訊 組件 擦 除 組件 接 收 CC 指令 上 傳 數(shù)據(jù) 從 資 源中 釋 放 擦 寫 磁盤 CC 服 務(wù) 器 磁 盤 擦寫 驅(qū) 動(dòng) 用 戶 磁盤 總體而言， Shamoon 與 具有很強(qiáng)的相 似 性，不僅 是 攻擊的 目標(biāo)國(guó)家相似 ， 選取的攻 擊 時(shí)間點(diǎn)存 在 共性（ 休 假 期 間 ） ，而且具體實(shí)現(xiàn)技 術(shù)和攻擊 原 理也都 十 分相 似 。C 服務(wù)器 當(dāng) 中； 但 是 中， Camp。C 服務(wù) 器 進(jìn) 行 通訊，其 通 信過程 使 用 的是 HTTP 協(xié)議。 下圖給出了 Shamoon 的基本攻擊原理。C 服務(wù)器地 址 ，并在 程 序 中編碼了 定 時(shí)器時(shí) 間 為 2020 年 11 月 17 日 晚 8:45。C 服 務(wù)器上之后 ， 才 會(huì)執(zhí)行 文 件刪除 或 覆 蓋 操作 ， 這 就 使 我們?cè)诶?論 上有可 能 通 過阻斷網(wǎng) 絡(luò) 或限制 IP 訪 問 等方法 來 阻止 Shamoon 的破壞行為 。 特別值得 一 提的是 ， 的惡意破壞性 要 比 Shamoon 更加明顯。 11 2020 年中 國(guó) 高級(jí)持 續(xù) 性威 脅 （ APT） 研究報(bào)告 Shamoon 本身還會(huì)嘗試通過當(dāng) 前 的權(quán)限 來 訪問當(dāng) 前系 統(tǒng)的活動(dòng) 目 錄 ， 相 同域及局 域 網(wǎng)上的 其 他主機(jī) ， 進(jìn)行 橫 向移動(dòng) 。 實(shí)際上， Shamoon 在 2020 年和 在 2020 年的攻擊 中 都用了 JPEG 方法 ： 2020 年的攻 擊 中使用 的 是燃燒 著 的美 國(guó) 國(guó)旗 ， 而 2020 年的攻擊 中出現(xiàn)的 圖 片是 2020 年 9 月 2 號(hào)溺水 的 敘利 亞 難 民 男孩 Alan Kurdi。 Shamoon 使用的模塊程序分為 三 類： 分 別是投 放 器 （ Dropper） 、通訊組 件（ Communications） 和擦除組 件 （ Wiper ponents） 。 Shamoon， 又稱 Disttrack， 是一款 模 塊化惡 意 程 序 ， 具 有很強(qiáng)的 毀 壞性， 能夠?qū)е?目 標(biāo)網(wǎng)絡(luò) 完 全癱 瘓 。 事 后 ，有一個(gè) 自 稱 Cutting Sword of Justice 的組織宣布為 此 次事件 負(fù) 責(zé) ， 但 是 根 據(jù)當(dāng)時(shí)多 家 安全機(jī) 構(gòu) 的 分析，此 次 攻擊應(yīng) 該 是一個(gè) 來 自伊朗 的 有國(guó)家 背 景 的 黑客組織 所 為。 2020 年 8 月 15 號(hào) ， 在針 對(duì) 沙特石 油 巨頭 Saudi Ameraco 的網(wǎng)絡(luò)攻擊中， Shamoon 惡意程序首次現(xiàn)身。 受害 者 的電腦 系 統(tǒng) 中 大 量 文件 和 數(shù)據(jù)被 損 毀， 代之以一張 2020 年 9 月 2 號(hào) 溺 水的敘 利 亞難 民 男孩 Alan Kurdi 的照片。 實(shí)際上 ， 全 球幾乎 所 有的電 力 公司所 使 用 的 工業(yè)控制 系 統(tǒng)都十 分 類 似 ， 操作系 統(tǒng) 也都以 Windows 居多 ， 底層的硬 件 更 是 壟斷在為 數(shù) 不多的 幾 個(gè) 大公司手 中 ， 因 此 ， 我們預(yù) 期 類似的 攻 擊 很有 可 能會(huì) 在 其他國(guó)家 和 地區(qū)重現(xiàn)。此次停 電事件疑 似 由“ 外 部 干擾 ” 所 導(dǎo)致 的 ， 惡 意 攻擊者 通 過網(wǎng)絡(luò)對(duì) 公司電力 系統(tǒng)進(jìn)行 了 非法操 作 。 年份 事件概要 Arbor 公司首次披露 一 個(gè)在 DDoS 攻擊中被用來 創(chuàng)建 僵尸網(wǎng)絡(luò) 2020 2020 的工具 BlackEnergy，該版本一般被 稱 之為 “ BlackEnergy 1” 俄格沖突 期 間 ， 一 些 身份 不 明的 黑 客針對(duì) 格 魯吉亞 的 網(wǎng)絡(luò)系統(tǒng) 發(fā)動(dòng)了 DDoS 攻擊， BlackEnergy 被用于創(chuàng)建僵尸 網(wǎng) 絡(luò) 2020 有黑客利用 BlackEnergy 盜取美國(guó) Citibank 數(shù)千萬美元 戴爾旗下 安 全公司 SecureWorks 發(fā)布配備 Rootkit 的 2020 BlackEnergy 變種，該版本一般稱之 為 “ BlackEnergy 2” 2020 年 7 月 ESET virusradar 研究顯示， BlackEnergy 在全球活動(dòng)達(dá)到高峰 2020 年 10 月 BlackEnergy 支持 64 位操作系統(tǒng) FSecure 發(fā)現(xiàn)了為烏克蘭政 府 量身打 造 的 BlackEnergy 新變 2020 年 9 月 2020 年 10 月 2020 年 10 月 2020 年 11 月 2020 年 11 月 2020 年 11 月 種，該版 本 一般被 稱 之為 “ BlackEnergy 3” 有報(bào)道 稱 ，BlackEnergy 開發(fā)團(tuán)隊(duì) ， 疑 似 沙蟲組 織 ， 針 對(duì)北約、 烏克蘭和波 蘭政府 、 歐洲各 重 要工 業(yè) 系 統(tǒng)進(jìn)行 了 攻擊 ICSCERT 警告 ICS 和 SCADA 中存在高危漏洞， 并 發(fā)現(xiàn)攻擊 者使用 BlackEnergy 2 攻擊 SCADA HMI（人機(jī)接口 ） 系統(tǒng) 卡巴斯基 稱 ， BlackEnergy2 已經(jīng)可以對(duì)路由器 、 Linux 系統(tǒng)、 Windows 系統(tǒng)發(fā)起攻擊，且 能 夠攻擊 Cisco 思科設(shè) 備 和 ARM 及 MIPS 平臺(tái) 烏克蘭一 家 礦業(yè)公 司 和一家 大 型鐵路 公 司的系統(tǒng) 中 發(fā) 現(xiàn) 感染 了 BlackEnergy 和 KillDisk CERTUA 首次將 BlackEnergy 和 KillDisk 關(guān)聯(lián)在一起 。國(guó)外安全機(jī) 構(gòu)發(fā)布的 研 究資料 還 顯示， 2020 年， BlackEnergy 還 在繼續(xù)對(duì) 烏 克蘭境 內(nèi)