─世界的科技新黑幫─***要小心注意喔***
專利流氓已成科技新黑幫,合法向新創公司勒索、收保護費
在現行美國專利法框架之下,巨型專利起訴以及專利流氓行為已經攪得科技行業昏天黑地。最近一次事件就是蘋果、索尼、微軟、愛立信和黑莓組成的專利實體 Rockstar(可謂一個超級專利黑幫),因為專利侵權告上思科,思科最後簽了和解協議,據悉,後者將向 Rockstar 支付高達 1.88 億美元的賠償金。
像上述學會了「結黨營私」這種小聰明的公司,不止蘋果、微軟,還包括一些希望在現行體制下找到空隙可鑽從而營利的「玩家」,比如納斯達克上市公司RPX 集團(NASDAQ: RPXC)。
從行為上來看,RPX 和專利流氓(學名為 Non-Practicing Entities, NPE)並沒有太大的區別,都是大量收購和持有專利,同時不從事持有專利所覆蓋產品的研發生產工作,而是專門利用專利來營利。
但是RPX則是另一種形式,他們經營的業務是提供「專利保險服務」。既然現在的新創公司那麼容易被專利流氓勒索,因此你只要付一筆保險費給他們,他們就會幫你搞定這些專利流氓。仔細想想,這跟黑幫向店家收取保護費其實是一樣的道理。
這項業務主要是針對小型公司(年收入低於 2000 萬美元)出售自己的保險套餐。這些公司每年「只要」支付 7500 美元到 1 萬美元不等的保險費,即可享受從 100 萬美元到 1000 萬美元不等的保額內的專利訴訟損失給付。當購買了保險的公司,遭到其他非執業實體的起訴,RPX 將會介入法律流程,説明這些公司承擔保額限制內的賠償金支付工作。據科技媒體 Ars Technica 報導,對於風險較高的公司,RPX 也會相應調整保費,最高能達到 60 萬美元。
像 RPX 這樣的公司,誕生於一個問題嚴重的專利法制條件所管理的市場中。根據資料顯示,僅今年第二季度,專利流氓發起的訴訟就達到了 855 樁。而 RPX 發現,得到頂級 VC 投資支持的優秀創業公司中,10 家裡有 1 家在得到投資之後的5年,就會被專利流氓盯上。
根據波士頓大學的專利流氓行為(Patent Trolling)研究專家 James Bessen提供的資料,從上世紀 80 年代至今,美國每年的智慧財產權侵權案件數量已經增長了六倍之多。
專利法制本應該保護智慧財產權合法受益人的權益免受侵害,但以美國科技界為代表的新興產業,卻因這個具有明顯漏洞和不合理因素的專利法制度而損失慘重,因為專利法成為專利流氓野蠻生長的保護傘。
著名律師事務所高贏(Goodwin Procter)日前發佈了一份對於專利流氓(Patent Troll)行為的調查報告。該報告顯示,1995 到 1999 年,非執業實體在法庭上獲得的賠償金收入平均達到了 560 萬美元,同期正經公司起訴侵權公司獲得的賠償金收入的平均數達到了 550 萬美元,也就是說,專利流氓與真的要打官司的受害者,取得的賠償是差不多的。
而狀況演變到後來只有變得更糟,在2001到2005年,非執業實體在法庭上獲得賠償金水準猛增到了 1130 萬美元,而正經公司仍然是 570 萬美元。隨著時間演進,正經公司的獲賠償能力越來越低,而非執業實體卻顯得更受法律青睞。
因為科技泡沫等原因,美國不斷有科技公司破產,它們成為了專利流氓公司收穫的保障。美國一家名為高智發明(Intellectual Ventures)的公司,迄今為止已經持有超過 1.5 萬件專利——這已經不是專利流氓,簡直就是專利恐怖分子。
在這個畸形的市場上,有專利流氓來鑽漏洞惡意攪亂秩序,有 RPX 來「循規蹈矩」獲利——最終受到嚴重損失的,恐怕只有那些兢兢業業的創新型公司。
高度類似俄羅斯科技黑幫手法,調查局證實一銀ATM遭植木馬,駭客遠端遙控大吐鈔
2016-07-12台灣調查局證實一銀ATM遭植入木馬,盜領者遠端透過銀行內網遙控ATM吐鈔,多名APT資安研究專家研判,一銀受駭情況,與俄羅斯黑幫鎖定攻擊50間俄羅斯銀行的手法類似,都使用暗中將惡意程式植入Wincor廠牌ATM,竄改吐鈔限制,可控制多臺ATM來盜領。該集團已偷騙俄羅斯50家銀行,甚至包括歐、美銀行。
第一銀行ATM遭駭盜領案有新進展。負責調查的調查局新北市調查處揭露第一天調查結果,證實第一銀行ATM遭植入惡意木馬,盜領者則是透過遠端遙控方式來操作ATM吐鈔。調查局在ATM硬碟中發現了2隻惡意程式,經實際測試,這款木馬只要一經執行就會讓ATM吐鈔,不受限於一般臺灣ATM提款金額本行3萬元、跨行2萬元的限制。調查局還發現,盜領者是透過遠端遙控方式,連續執行惡意程式讓ATM自動連續吐鈔。
第一銀行遭駭ATM也不只原先向金管處通報的34臺,已在近40臺同款ATM發現此木馬,尚有上百臺還未檢測,受駭ATM數量恐再增加,損失金額也非原先通報的7,200萬元,恐超過8千萬元。
調查局表示,昨天上午就連同資安專業人員,兵分多路,前往第一銀行總部、資訊處、各分行及遭駭ATM系統開發及維護廠商「德利多富公司」調閱相關資料。了解第一銀行網路系統架構、ATM運作模式、系統開發及維護流程、遭盜領ATM之電磁紀錄、錄影畫面及損失金額。
遭駭ATM軟硬體是由德利多富公司負責建置維護的Wincor廠牌AMT,型號為pro cash 1500,發現被遭植入2隻惡意程式為「cngdisp.exe」及「cngdisp_new.exe」,另以同型ATM測試,確認只要一執行惡意程式,ATM就會立即吐出現鈔。另外調查局也清查,第一銀行資料庫目前沒有發現遭入侵的跡象,盜領者也沒有使用ATM按鍵或插入金融卡,因此,調查局研判,盜領者透過遠端遙控,連續執行惡意程式來讓特定ATM吐鈔。調查局也在發布新聞稿中呼籲,使用同款軟硬體ATM的金融機構,盡速檢查內部網路系統中是否有cngdisp.exe及cngdisp_new.exe等惡意程式,若有應立即清除。
不過,多名資安研究員先後表示,一銀受駭方式與相關的攻擊手法,與俄羅斯黑幫集團利用惡意程式Anunak,入侵超過50家俄羅斯銀行ATM竊鈔手法類似,推測,可能是同一集團在臺所為。
一銀ATM遭駭事件與俄羅斯黑幫入侵ATM的手法有多項雷同,包括都是俄羅斯人所為,受駭ATM廠牌都是Wincor,先暗中在ATM中植入惡意程式,無須接觸按鍵透過遠端遙控執行,可一次控制大量ATM而不用逐一入侵,解除了ATM提款上限多次連續吐鈔。
荷蘭與俄羅斯資安研究公司Group-IB及Fox-IT在2014年聯合發表的資安報告《AnunAk:APT Against Financial Institutions》中,詳細揭露了這個俄羅斯黑幫集團,利用開源銀行木馬Carberp,來客製化出專門攻擊銀行和支付系統的惡意程式Anunak,專攻特定廠牌Wincor(德利多富)ATM,可竄改銀行吐鈔上限,並可同時遠端遙控多達52臺ATM吐鈔來盜領金錢。此俄羅斯犯罪集團已經利用相同手法,不只偷騙俄羅斯,也橫行美國與歐洲多國的銀行。
Wincor原本是德國廠牌,主要的優勢在於相關的ATM軟體,硬體多是找代工貼牌,但是該ATM在去年賣給美國公司,而Wincor在拍賣網站的售價大約新臺幣4萬元~6萬元不等,一銀遭駭的ATM行號Pro cash 1500是一款上市超過10年的ATM機型,採用作業系統為Windows XP或Windows 7的32位元系統。根據這份資安報告,俄羅斯黑幫就是鎖定如同第一銀行此次受駭的ATM廠牌Wincor,利用植入的惡意程式,竄改ATM作業系統內與提款上限相關的特定登錄機碼數值,來破解ATM提款機提款面額的限制。
雖然詳細的內情還有待檢警調單位進一步調查,但是,從同是俄羅斯人所為,同一ATM廠牌受駭,加上駭客可以同時控制多臺ATM,並且有多名APT資安研究員同時引述這樣的攻擊手法,整起事件極有可能是同一俄羅斯黑幫集團所為,俄羅斯金融木馬ATM盜領事件的臺灣版。
俄羅斯黑幫9大步驟入侵ATM盜領現鈔
該份資安報告也詳細列出了,目前所發現的駭客入侵銀行手法,包括了九個步驟。1,駭客會透過寄送魚叉式釣魚信件,將惡意程式植入在一般銀行行員所使用的電腦中;2,駭客會伺機在銀行內部系統作橫向移動,目的就是要取得具有系統管理員行員的密碼,例如某一些提供技術支援的工程師便是鎖定的對象之一。
3,取得其中任一臺伺服器,合法存取伺服器的權限;4,從伺服器中,取得網域管理員(Domain Administrator )的密碼;5,由於網域管理員具有修改網域設定,和新增、刪除和修改所有網域帳號使用者的權限,當駭客獲得該權限後,就可以控管所有網域帳戶的使用者;6,接著掌控銀行使用者的郵件系統,不分是微軟的Exchange郵件伺服器或是IBM的Lotus郵件系統,以及掌握工作簽核流程系統的伺服器。
7,獲得存取伺服器及銀行系統管理員工作站的權限;8,植入可以監控維運系統的監控軟體,觀察使用者行為,也常使用錄影與拍照的方式進行;9,則是利用遠端存取控管的權限,修改某些有興趣系統的設定,包括防火牆的設定在內。
客製化惡意程式平均潛伏42天,至少50間俄羅斯銀行受駭
該份報告顯示,最早這種金融詐騙的手法是發生在2013年的俄羅斯境內,主要受駭對象是銀行、電子支付業者、零售業、媒體以及公關公司等產業。這樣金融詐騙發生在銀行內部網路,往往都會使用銀行內部的支付閘道器與內部銀行系統,所以,駭客竊取的金錢是從銀行的系統而來,並非竊取銀行個別客戶的資金。也有消息指出,這樣的黑幫集團因為有利可圖,也會用於產業的網路間諜和股票市場交易外,也會刺探政府相關的資訊。
這個俄羅斯黑幫主要來自於俄羅斯、烏克蘭和白俄羅斯,從2013年起,每一起攻擊事件至少獲利200萬美元,至少有50間俄羅斯銀行、5個支付系統受駭,其中,還有2間金融體系因此喪失繼續開門做生意的資格。
由於這個俄羅斯黑幫使用的惡意程式是一種低調潛伏的APT惡意程式,從入侵該金融機構後到偷錢成功,平均潛伏42天,這樣的潛伏天數比以鎖定國家政府的APT攻擊潛伏天數更短,資安公司推論,俄羅斯黑幫只是為了快速拿到錢,而非偷資料,所以不需長時間潛伏在企業的內部系統中。
因為ATM系統往往是獨立的系統,俄羅斯黑幫要成功取得相關的控管權限,最好的方式就是透過寄送魚叉式網路釣魚信件(Spear Phishing),也因為會需要和發送垃圾郵件的傀儡網路業者保持合作關係。等到這樣的黑幫取得電子郵件伺服器的控制權限後,就可以監控銀行內部的溝通,不論是有發生哪些異常現象,或者是使用何種應對措施,其實都在這樣俄羅斯黑幫的控制中。
在2013年第一起成功竊鈔事件中,駭客為了遠端存取銀行內部系統,使用了可遠端遙控的RDPDoor木馬程式,和可以消除追蹤跡證並癱瘓微軟作業系統的MBR Eraser惡意程式;當時甚至為了要降低遠端進入銀行內部系統的風險,駭客,也使用了合法的遠端登入的應用程式,例如Ammy Admin及Team Viewer。
直到2014年,這個俄羅斯黑幫也發展出完整的金融詐欺惡意程式Anunak,除了整合原本已經開源的銀行木馬程式Carberp,也將一些常見應用程式整合在這個惡意程式的套件中,包括:可以擷取本地端與網域端使用者帳號密碼的工具Mimikatz;癱瘓作業系統的MBr Eraser;可以掃描網段和內網的SoftPerfect Network scanner;可取得密碼的Cain & Abel;取得密碼並可以遠端遙控的SSHD後門程式;以及遠端遙控程式Ammy Admin及Team Viewer的功能。
事前預防和事後應變建議
儘管一銀ATM遭駭事件類似這份資安報告所提及的俄羅斯黑幫手法,不過,勤業眾信企業風險管理副總經理溫紹群認為,仍有待檢警調最後公布的調查結果才能確定,但是其他的金融業者,則為了降低可能的風險,已紛紛暫停使用受駭的同款ATM型號(WINCOR pro cash 1500)並進行全面檢測。溫紹群建議,在相關事件發生原因並不明朗的情況下,可從事前預防及事後應變雙管其下。
在事前預防方面,他提供5點建議,1,金融業者除了要全面盤點ATM同型號設備,評估風險後,可考量將該款機型全面暫停服務,若無法全面暫停服務,建議非營業時段是否考量少放點鈔票;2,建議此ATM同型號設備,有關程式執行之權限控制,以白名單方式進行控管;3,針對此ATM同型號的設備進行惡意程式檢測作業(如系統異常行為檢測);4,確認近期是否有ATM設備換版、中央派送及到場軟硬體維修保養紀錄;5,需另行盤點負責維運此ATM同型號設備的委外廠商人員。
至於事後應變,主要是指當ATM設備有發生異常情況時的因應策略,溫紹群也有3點建議,包括:1,依據數位鑑識程序針對被盜ATM的硬體進行記憶體擷取及硬碟證據保全作業;2,確認系統所執行程序(Process)及服務/排程/Autorun等主機行為資訊;3,和檢查應用程式與前幾代版本之內容差異。
文章定位:
