─世界的科技新黑幫─***要小心注意喔***

專利流氓已成科技新黑幫，合法向新創公司勒索、收保護費 

在現行美國專利法框架之下，巨型專利起訴以及專利流氓行為已經攪得科技行業昏天黑地。最近一次事件就是蘋果、索尼、微軟、愛立信和黑莓組成的專利實體 Rockstar（可謂一個超級專利黑幫），因為專利侵權告上思科，思科最後簽了和解協議，據悉，後者將向 Rockstar 支付高達 1.88 億美元的賠償金。

像上述學會了「結黨營私」這種小聰明的公司，不止蘋果、微軟，還包括一些希望在現行體制下找到空隙可鑽從而營利的「玩家」，比如納斯達克上市公司RPX 集團（NASDAQ: RPXC）。

從行為上來看，RPX 和專利流氓（學名為 Non-Practicing Entities, NPE）並沒有太大的區別，都是大量收購和持有專利，同時不從事持有專利所覆蓋產品的研發生產工作，而是專門利用專利來營利。

但是RPX則是另一種形式，他們經營的業務是提供「專利保險服務」。既然現在的新創公司那麼容易被專利流氓勒索，因此你只要付一筆保險費給他們，他們就會幫你搞定這些專利流氓。仔細想想，這跟黑幫向店家收取保護費其實是一樣的道理。

這項業務主要是針對小型公司（年收入低於 2000 萬美元）出售自己的保險套餐。這些公司每年「只要」支付 7500 美元到 1 萬美元不等的保險費，即可享受從 100 萬美元到 1000 萬美元不等的保額內的專利訴訟損失給付。當購買了保險的公司，遭到其他非執業實體的起訴，RPX 將會介入法律流程，説明這些公司承擔保額限制內的賠償金支付工作。據科技媒體 Ars Technica 報導，對於風險較高的公司，RPX 也會相應調整保費，最高能達到 60 萬美元。

像 RPX 這樣的公司，誕生於一個問題嚴重的專利法制條件所管理的市場中。根據資料顯示，僅今年第二季度，專利流氓發起的訴訟就達到了 855 樁。而 RPX 發現，得到頂級 VC 投資支持的優秀創業公司中，10 家裡有 1 家在得到投資之後的5年，就會被專利流氓盯上。

根據波士頓大學的專利流氓行為（Patent Trolling）研究專家 James Bessen提供的資料，從上世紀 80 年代至今，美國每年的智慧財產權侵權案件數量已經增長了六倍之多。

專利法制本應該保護智慧財產權合法受益人的權益免受侵害，但以美國科技界為代表的新興產業，卻因這個具有明顯漏洞和不合理因素的專利法制度而損失慘重，因為專利法成為專利流氓野蠻生長的保護傘。

著名律師事務所高贏（Goodwin Procter）日前發佈了一份對於專利流氓（Patent Troll）行為的調查報告。該報告顯示，1995 到 1999 年，非執業實體在法庭上獲得的賠償金收入平均達到了 560 萬美元，同期正經公司起訴侵權公司獲得的賠償金收入的平均數達到了 550 萬美元，也就是說，專利流氓與真的要打官司的受害者，取得的賠償是差不多的。

而狀況演變到後來只有變得更糟，在2001到2005年，非執業實體在法庭上獲得賠償金水準猛增到了 1130 萬美元，而正經公司仍然是 570 萬美元。隨著時間演進，正經公司的獲賠償能力越來越低，而非執業實體卻顯得更受法律青睞。

因為科技泡沫等原因，美國不斷有科技公司破產，它們成為了專利流氓公司收穫的保障。美國一家名為高智發明（Intellectual Ventures）的公司，迄今為止已經持有超過 1.5 萬件專利——這已經不是專利流氓，簡直就是專利恐怖分子。

在這個畸形的市場上，有專利流氓來鑽漏洞惡意攪亂秩序，有 RPX 來「循規蹈矩」獲利——最終受到嚴重損失的，恐怕只有那些兢兢業業的創新型公司。

高度類似俄羅斯科技黑幫手法，調查局證實一銀ATM遭植木馬，駭客遠端遙控大吐鈔 

2016-07-12台灣調查局證實一銀ATM遭植入木馬，盜領者遠端透過銀行內網遙控ATM吐鈔，多名APT資安研究專家研判，一銀受駭情況，與俄羅斯黑幫鎖定攻擊50間俄羅斯銀行的手法類似，都使用暗中將惡意程式植入Wincor廠牌ATM，竄改吐鈔限制，可控制多臺ATM來盜領。該集團已偷騙俄羅斯50家銀行，甚至包括歐、美銀行。

第一銀行ATM遭駭盜領案有新進展。負責調查的調查局新北市調查處揭露第一天調查結果，證實第一銀行ATM遭植入惡意木馬，盜領者則是透過遠端遙控方式來操作ATM吐鈔。調查局在ATM硬碟中發現了2隻惡意程式，經實際測試，這款木馬只要一經執行就會讓ATM吐鈔，不受限於一般臺灣ATM提款金額本行3萬元、跨行2萬元的限制。調查局還發現，盜領者是透過遠端遙控方式，連續執行惡意程式讓ATM自動連續吐鈔。

第一銀行遭駭ATM也不只原先向金管處通報的34臺，已在近40臺同款ATM發現此木馬，尚有上百臺還未檢測，受駭ATM數量恐再增加，損失金額也非原先通報的7,200萬元，恐超過8千萬元。

調查局表示，昨天上午就連同資安專業人員，兵分多路，前往第一銀行總部、資訊處、各分行及遭駭ATM系統開發及維護廠商「德利多富公司」調閱相關資料。了解第一銀行網路系統架構、ATM運作模式、系統開發及維護流程、遭盜領ATM之電磁紀錄、錄影畫面及損失金額。

遭駭ATM軟硬體是由德利多富公司負責建置維護的Wincor廠牌AMT，型號為pro cash 1500，發現被遭植入2隻惡意程式為「cngdisp.exe」及「cngdisp_new.exe」，另以同型ATM測試，確認只要一執行惡意程式，ATM就會立即吐出現鈔。另外調查局也清查，第一銀行資料庫目前沒有發現遭入侵的跡象，盜領者也沒有使用ATM按鍵或插入金融卡，因此，調查局研判，盜領者透過遠端遙控，連續執行惡意程式來讓特定ATM吐鈔。調查局也在發布新聞稿中呼籲，使用同款軟硬體ATM的金融機構，盡速檢查內部網路系統中是否有cngdisp.exe及cngdisp_new.exe等惡意程式，若有應立即清除。

不過，多名資安研究員先後表示，一銀受駭方式與相關的攻擊手法，與俄羅斯黑幫集團利用惡意程式Anunak，入侵超過50家俄羅斯銀行ATM竊鈔手法類似，推測，可能是同一集團在臺所為。

一銀ATM遭駭事件與俄羅斯黑幫入侵ATM的手法有多項雷同，包括都是俄羅斯人所為，受駭ATM廠牌都是Wincor，先暗中在ATM中植入惡意程式，無須接觸按鍵透過遠端遙控執行，可一次控制大量ATM而不用逐一入侵，解除了ATM提款上限多次連續吐鈔。

荷蘭與俄羅斯資安研究公司Group-IB及Fox-IT在2014年聯合發表的資安報告《AnunAk：APT Against Financial Institutions》中，詳細揭露了這個俄羅斯黑幫集團，利用開源銀行木馬Carberp，來客製化出專門攻擊銀行和支付系統的惡意程式Anunak，專攻特定廠牌Wincor（德利多富）ATM，可竄改銀行吐鈔上限，並可同時遠端遙控多達52臺ATM吐鈔來盜領金錢。此俄羅斯犯罪集團已經利用相同手法，不只偷騙俄羅斯，也橫行美國與歐洲多國的銀行。

Wincor原本是德國廠牌，主要的優勢在於相關的ATM軟體，硬體多是找代工貼牌，但是該ATM在去年賣給美國公司，而Wincor在拍賣網站的售價大約新臺幣4萬元～6萬元不等，一銀遭駭的ATM行號Pro cash 1500是一款上市超過10年的ATM機型，採用作業系統為Windows XP或Windows 7的32位元系統。根據這份資安報告，俄羅斯黑幫就是鎖定如同第一銀行此次受駭的ATM廠牌Wincor，利用植入的惡意程式，竄改ATM作業系統內與提款上限相關的特定登錄機碼數值，來破解ATM提款機提款面額的限制。

雖然詳細的內情還有待檢警調單位進一步調查，但是，從同是俄羅斯人所為，同一ATM廠牌受駭，加上駭客可以同時控制多臺ATM，並且有多名APT資安研究員同時引述這樣的攻擊手法，整起事件極有可能是同一俄羅斯黑幫集團所為，俄羅斯金融木馬ATM盜領事件的臺灣版。

俄羅斯黑幫9大步驟入侵ATM盜領現鈔

該份資安報告也詳細列出了，目前所發現的駭客入侵銀行手法，包括了九個步驟。1，駭客會透過寄送魚叉式釣魚信件，將惡意程式植入在一般銀行行員所使用的電腦中；2，駭客會伺機在銀行內部系統作橫向移動，目的就是要取得具有系統管理員行員的密碼，例如某一些提供技術支援的工程師便是鎖定的對象之一。

3，取得其中任一臺伺服器，合法存取伺服器的權限；4，從伺服器中，取得網域管理員（Domain Administrator ）的密碼；5，由於網域管理員具有修改網域設定，和新增、刪除和修改所有網域帳號使用者的權限，當駭客獲得該權限後，就可以控管所有網域帳戶的使用者；6，接著掌控銀行使用者的郵件系統，不分是微軟的Exchange郵件伺服器或是IBM的Lotus郵件系統，以及掌握工作簽核流程系統的伺服器。

7，獲得存取伺服器及銀行系統管理員工作站的權限；8，植入可以監控維運系統的監控軟體，觀察使用者行為，也常使用錄影與拍照的方式進行；9，則是利用遠端存取控管的權限，修改某些有興趣系統的設定，包括防火牆的設定在內。

客製化惡意程式平均潛伏42天，至少50間俄羅斯銀行受駭

該份報告顯示，最早這種金融詐騙的手法是發生在2013年的俄羅斯境內，主要受駭對象是銀行、電子支付業者、零售業、媒體以及公關公司等產業。這樣金融詐騙發生在銀行內部網路，往往都會使用銀行內部的支付閘道器與內部銀行系統，所以，駭客竊取的金錢是從銀行的系統而來，並非竊取銀行個別客戶的資金。也有消息指出，這樣的黑幫集團因為有利可圖，也會用於產業的網路間諜和股票市場交易外，也會刺探政府相關的資訊。

這個俄羅斯黑幫主要來自於俄羅斯、烏克蘭和白俄羅斯，從2013年起，每一起攻擊事件至少獲利200萬美元，至少有50間俄羅斯銀行、5個支付系統受駭，其中，還有2間金融體系因此喪失繼續開門做生意的資格。

由於這個俄羅斯黑幫使用的惡意程式是一種低調潛伏的APT惡意程式，從入侵該金融機構後到偷錢成功，平均潛伏42天，這樣的潛伏天數比以鎖定國家政府的APT攻擊潛伏天數更短，資安公司推論，俄羅斯黑幫只是為了快速拿到錢，而非偷資料，所以不需長時間潛伏在企業的內部系統中。

因為ATM系統往往是獨立的系統，俄羅斯黑幫要成功取得相關的控管權限，最好的方式就是透過寄送魚叉式網路釣魚信件（Spear Phishing），也因為會需要和發送垃圾郵件的傀儡網路業者保持合作關係。等到這樣的黑幫取得電子郵件伺服器的控制權限後，就可以監控銀行內部的溝通，不論是有發生哪些異常現象，或者是使用何種應對措施，其實都在這樣俄羅斯黑幫的控制中。

在2013年第一起成功竊鈔事件中，駭客為了遠端存取銀行內部系統，使用了可遠端遙控的RDPDoor木馬程式，和可以消除追蹤跡證並癱瘓微軟作業系統的MBR Eraser惡意程式；當時甚至為了要降低遠端進入銀行內部系統的風險，駭客，也使用了合法的遠端登入的應用程式，例如Ammy Admin及Team Viewer。

直到2014年，這個俄羅斯黑幫也發展出完整的金融詐欺惡意程式Anunak，除了整合原本已經開源的銀行木馬程式Carberp，也將一些常見應用程式整合在這個惡意程式的套件中，包括：可以擷取本地端與網域端使用者帳號密碼的工具Mimikatz；癱瘓作業系統的MBr Eraser；可以掃描網段和內網的SoftPerfect Network scanner；可取得密碼的Cain & Abel；取得密碼並可以遠端遙控的SSHD後門程式；以及遠端遙控程式Ammy Admin及Team Viewer的功能。

事前預防和事後應變建議

儘管一銀ATM遭駭事件類似這份資安報告所提及的俄羅斯黑幫手法，不過，勤業眾信企業風險管理副總經理溫紹群認為，仍有待檢警調最後公布的調查結果才能確定，但是其他的金融業者，則為了降低可能的風險，已紛紛暫停使用受駭的同款ATM型號（WINCOR pro cash 1500）並進行全面檢測。溫紹群建議，在相關事件發生原因並不明朗的情況下，可從事前預防及事後應變雙管其下。

在事前預防方面，他提供5點建議，1，金融業者除了要全面盤點ATM同型號設備，評估風險後，可考量將該款機型全面暫停服務，若無法全面暫停服務，建議非營業時段是否考量少放點鈔票；2，建議此ATM同型號設備，有關程式執行之權限控制，以白名單方式進行控管；3，針對此ATM同型號的設備進行惡意程式檢測作業（如系統異常行為檢測）；4，確認近期是否有ATM設備換版、中央派送及到場軟硬體維修保養紀錄；5，需另行盤點負責維運此ATM同型號設備的委外廠商人員。

至於事後應變，主要是指當ATM設備有發生異常情況時的因應策略，溫紹群也有3點建議，包括：1，依據數位鑑識程序針對被盜ATM的硬體進行記憶體擷取及硬碟證據保全作業；2，確認系統所執行程序（Process）及服務/排程/Autorun等主機行為資訊；3，和檢查應用程式與前幾代版本之內容差異。