涉一銀ATM盜領案安德魯(右一)及羅馬尼亞籍車手摩爾多瓦籍潘可夫(中)與米海爾(左一),北檢聲押,台北地院19日清晨裁准。(攝影:葉信菉)
第一銀行ATM盜領案發生已逾一周,據調查局新北市調查處表示,在調查一銀ATM惡意程式來源及植入方式時,資安人員發現在7月9日至11日之間,第一銀行電腦伺服器竟有與倫敦分行的密集連線異常紀錄,因此不排除有犯罪集團跨國發動攻擊。另主嫌安德魯及2名共犯,均遭北檢聲押。經台北地檢署複訊後認為嫌疑人安德魯、2位車手米海爾及潘可夫有串證、逃亡之虞,向法院聲請羈押禁見。台北地院19日清晨裁准。
市調處表示,由於ATM的電腦系統是封閉網路,初步研判可能是跨國犯罪集團駭進一銀倫敦分行的電腦系統後,再破解ATM電腦系統的管理人帳號,順利進入內部網路。同時,資安人員在分析連線內容時也找到不應存在的惡意程式,及不應存在的內容。
調查局資安人員在解讀ATM硬碟時先後揪出4個惡意程式與1個指令檔,確定犯罪集團就是以植入惡意程式,與遠端搖控ATM自動吐鈔的方式,盜走8,100多萬元現鈔,但尚未查明跨國犯罪集團究竟如何將惡意程式植入一銀的封閉網路。
市調處也表示,為釐清異常連線原因等相關疑點,早在15日就傳喚一銀倫敦分行人員飛至台灣接受調查,18日上午共約談倫敦分行主管、總行資訊單位主管及ATM廠商德利多富總部派出的代表共3人到案,以釐清有無內鬼接應的可能。
至於已落網的2名車手,羅馬尼亞籍的米海爾(Colibaba Mihail)與摩爾多瓦籍潘可夫(Niklae Penkov),18日經台北市警察局中山警分局偵訊後,在下午5時30分被移送至北檢,當時2人均低頭、以手遮掩,皆未回應媒體詢問,在法警的押解下快速步入偵查庭。
另外,市調處18日晚間也對外發出正式新聞稿,說明目前偵查進度共5點,整理如下:
1.一銀倫敦分行有一電話錄音伺服器主機透過內部網路與台灣ATM機器曾經異常連線,該主機可能為入侵一銀內部網路之端點。
2.一銀ATM機器程式更新是經由內部派送主機提供更新程式,自動派送至各ATM機器,派送更新程式過程在7月4日遭入侵者仿冒派送軟體並開啟ATM遠端控制服務,7月9日入侵者再以遠端登入,上傳ATM操控程式(外界所指惡意程式),執行測試吐鈔開關夾,經車手回報測試成功且就定位後,國外操控者由網路遠端執行吐鈔,完成盜領後,再將隱藏控制程式、紀錄檔、執行檔全部清除,並將遠端連線服務由自動變更手動,目前已發現被刪除之程式。
3.經專案小組反組譯後,在cngdisp.exe程式中發現有一段程式碼,設定電腦執行該程式之日期為2016年7月,之前及之後均無法執行。
4.7月16日一銀經由網路分析發現,除41台ATM機器遭盜領外,另有3台ATM曾有主動連線至倫敦一銀主機紀錄,且有2台ATM機器在監控影片中發現車手曾出現,卻未進行盜領,本局已一併查扣上開ATM硬碟進行鑑識。
5.7月16日凌晨一銀總行要求倫敦分行送回疑遭駭客借徑的電腦設備,包含一部該行電話錄音主機的二顆硬碟(互為備援),以及一部個人電腦用硬碟,已依法查扣並進行鑑識中。
市調處強調,已盡全力對數位資料進行鑑識,盼早日釐清案件全貌。(徐乙喬/綜合報導)