【远银遭骇追追追】更多入侵细节大公开!18亿元远银遭骇盗转事件追追追
2017-10-13 12:14:33 | 来源:ithome | 投稿:伊文 | 编辑:dations

原标题:【远银遭骇追追追】更多入侵细节大公开!18亿元远银遭骇盗转事件追追追

刚入秋的这一周,吹起了台湾金融圈另一次资安风暴。

在10月3日这一天,远东国际商业银行(简称远银)的国际汇款系统SWIFT(环球银行间金融电讯网络)发生了交易系统异常,骇客盗转了18亿元汇款到海外三国,远东银行在3天后的傍晚对外公开,立刻震惊了全台。

远银在10月3日上午,从资安设备上侦测到网络异常行为,随后发现有系统毁损,确认遭到骇客攻击而植入病毒程式,当时清查后发现,只有PC和Windows伺服器受到影响,其余主要交易系统,如存、汇、网银、ATM及信用卡等皆正常运作,分行服务都运作如常。因此,远银刚开始以为是只是一起单纯的病毒入侵事件,也先向金管会通报遭骇客植入病毒。

第一时间远银先在总行成立紧急应变小组,由远银总经理亲自主持,并在资讯处成立战情指挥中心,由远银O△T副总经理与资讯处处长担任现场指挥,还成立了攻防小组及设备复原小组。另外,远银也找来多家资安业者,如趋势、微软等组成团队盘查系统,以确认影响范围,后来找出并删除病毒及后门程式,尤其还发现了过去没有出现过的病毒。

像微软原本在远东银行就有常驻人力,除了检查远银的微软环境是否异常外,如针对AD服务,微软就会对系统架构、权限、使用者稽核管理机制、事件纪录进行查核。微软团队也尝试寻找是否有新的攻击手法,“尤其会检查是否出现了零时差漏洞,不过,没有发现有这样的漏洞存在。”台湾微软资讯安全暨风险管理经理林宏嘉表示。

但是,过了10月4日中秋假期隔天,10月5日,远银在SWIFT系统修复后对帐时,却发现了7笔伪冒交易,远银才惊觉是SWIFT银行与银行间跨国转帐系统遭骇客攻击。

骇客入侵SWIFT系统来操控转帐,盗转巨额款项,并分批汇往不同海外银行,总计金额高达6,010.4万美元,当中分别有5,700万美元汇往柬埔寨,210万4千美元转至斯里兰卡,另外的100万美元则汇往美国的银行帐户。远银当日晚间也随即至刑事局侦九队报案,并向国际刑警组织及SWIFT△Alliance请求协助调查,也将遭骇电脑封存,交由刑事局协助鉴识,以厘清骇客入侵手法及途径,并同时再次通报金管会。

在10月6日,也就是星期五晚上6点57分,远银在公司官网发布重大讯息公告,说明因发生“电脑病毒事件”,而影响部份SWIFT系统汇款交易,其他临柜的存汇、转帐、ATM等交易系统则未受影响,不过并未说明骇客是通过何种攻击手法入侵,只强调目前已通过跨行合作的通汇银行向受汇银行持续追回款项。

金管会也于同日发布新闻稿证实,远银SWIFT系统疑似遭骇客入侵,发生盗转资金的情形,金管会也同步清查全台其他银行,确认受骇银行只有远银一家,其他银行并未回报类似的受骇情形,SWIFT系统均属正常。

而斯里兰卡警方依台湾刑事局提供情报,在锡兰银行逮捕1名试图取款的斯里兰卡籍男性,疑似是远银盗领案的成员之一,并在办公住处查扣405万卢比(约2万6,400美元),怀疑是已遭提领的远银脏款,后来逮捕到的另一名嫌犯,发现是该国国营瓦斯公司会长Shalila△Moonesinghe,有1百多万美元窃自远银的汇款,汇入了他的私人户头。

骇客攻击手法初步曝光:熟諳远银内部,先删除防毒软件程序

由于目前案件由刑事局侦九队负责侦办,相关的恶意程式分析也交由刑事局研发科负责相关的分析。例如,目前已经发现了3支后门程式,以及2支病毒程式,目前由刑事警察局及资安公司协助分析中。不过,相关的案情尚未完全明朗前,我们也通过一些不具名资安专家的分析,提供一些可以持续关注的案情焦点。

首先,不具名的资安专家指出,远银SWIFT系统遭骇事件和先前国外爆发的案例一样,入侵的骇客都非常了解该入侵银行的作业模式,所有就有机会通过各种水坑式攻击等方式,进入远东银行的内部网络。

再者,不具名资安专家表示,骇客进入远银内部网络后,第一件事情就是设法删除远银使用防毒软件的部分程序的执行档,初步判断砍掉7个防毒程序后,再通过执行一个勒索软件,加密部分电脑中的档案。

第三步,该名资安专家表示,接下来就是散布相关的恶意程式。据了解,主要是通过启动排程功能“schatasks”进行删除的程序,并且利用“cmd”命令提示字元,登入像是C槽内的网络帐密。从先前刑事局透露发现的5支恶意程式,目前观察到主要是用来登入特定的IP位址、并在特定的路径中,创建启动勒索软件的时间。

从刑事局先前透露的资讯也可以发现,刑事局发现的恶意程式功能包括散布、加密及远端遥控功能,在感染远银内部电脑后,也会搜集相关情报进行回报,并且加密部分电脑的档案资料。刑事局指出,因部分电脑档案遭加密,导制警方无法更进一步追踪恶意程式的入侵途径,甚至于,连后续的帐款转帐的金额和流向也因为是加密档案,只能通过国际SWIFT联盟取得相关的资料。

刑事局也表示,追查过程中也发现,骇客通过美国和荷兰等国的中继站,隐匿踪迹,也加深追查难度,目前刑事局第一时间分析出恶意程式的特征,但是,要真正查出骇客如何入侵远银的SWIFT系统,才是真正有助于厘清案情的方法。

资安专家研判,因为要了解SWIFT国际汇款系统是需要对于该产业以及相关系统流程非常娴熟且专精,即便是国际骇客组织“人才济济”,要随便就找到可以如此深入了解SWIFT系统的专家,也并非容易的事情。

不过,可以从先前爆发的多起银行SWIFT系统来了解骇客入侵手法,趋势科技全球核心事业部资深协理张裕敏则在去年HITCON举办的一场金融资安科技研讨会中,便针对SWIFT网络攻击作了技术分析。

在会中,张裕敏针对多起银行SWIFT系统遭到入侵事件进行汇整分析五个共通点,首先,受骇银行内部网络都被骇客占领;其次,骇客也入侵并掌握SWIFT国际汇款交易系统的伺服器;第三,骇客可以通过网络,远端连上SWIFT伺服器;第四,入侵的骇客对于SWIFT△Message△Type以及对SWIFT系统的Alliance△Access软件也十分熟悉;最后,在孟加拉央行遭骇及越南国际先锋银行遭骇的事件中,都发现恶意程式内的英文有拼错的迹象。

从提升交易安全性和强化资安确保SWIFT安全

张裕敏也从两个面向提供预防之道,从各国银行的建议,主要都偏重在强化交易系统认证安全性,不论是SWIFT国际汇款交易需要进行指纹辨识确认,或者是在2016年5月,建议SWIFT交易应该引进双因素认证,甚至是采用USB传递交易资讯等,目的都是为了提高交易的安全性。

从资安强化作为来看,张裕敏认为,也可以从五个层次来进行。首先,应该要落实应用程序的控管(Application△Control);再者,也必须做到档案整合性测试和系统整合性测试(Integrations△Check);第三点,包括所有的连线控管、帐密管控以及特权帐号管理等,都必须进行严密的存取控制(Access△Control);第四点,落实稽核记录以及监控(Auditing△Log△and△Record)是确保所有环节都有落实的管理之道。

最后一点,也是张裕敏最深切的提醒就是,所有资安或者是操作人员都必须要有足够的警觉性,所有不应该出现任何警示的地方,就算指出现一次的警示,都必须进行追查,确认不是可疑资安事件的引爆点。他指出,唯有“在不疑处有疑”,才有可能做到制敌机先或者是提前预警的效果。

iThome△Security

tags:

上一篇  下一篇

相关:

【远银遭骇追追追】骇客集团连续锁定台湾,台湾金融业历年遭骇事件簿

金融业者近年来面临著资讯防护的内忧外患,内部资安要精准控管、滴水不漏,面对外部的骇客恶意攻击,也要有抵御的能力。从去年开始的第一银行ATM盗领案、今年初的证卷商集体遭DDoS阻断式网络攻击,一直到最近的远东银

遭骇事件频传,台湾金融业外部资安威胁骤增

金融业者近年来面临著资讯防护的内忧外患,内部资安要精准控管、滴水不漏,面对外部的骇客恶意攻击,也要有抵御的能力。从去年开始的第一银行ATM盗领案、今年初的证卷商集体遭DDoS阻断式网络攻击,一直到最近的远东银

高通因违反公平竞争遭公平会重罚234亿元,高通:将上诉

示意图,与新闻事件无关。 图片来源: Qualcomm 公平交易委员会(简称公平会)对高通(Qualcomm)市场垄断及不公平竞争进行调查,周三宣布高通因违反公僤竞争的事实,处以新台币243亿元罚款,约7.7亿美元,创下公平会历

“美好1台”个资外泄事件 NCC要求业者提升资安防护

我酷新闻网记者苏元和/台北报道购物频道“美好1台”日前发生消费者订购资讯泄漏事件,国家通讯传播委员会(NCC)今(11日)表示,NCC要求业者应落实个人资料保护安全维护计划,精进个资保护机制,提升资安防护。针对

北部本土登革热群聚事件再添2例

我酷新闻网记者黄兴文/台北报道本土登革热群聚个案再增加2例!继上月新北市夫妇确诊感染本土登革热后,卫生福利部疾病管制署今(6)日公布,新增2名个案,其中1位与之前群聚个案互为邻居,另1人则是在该地区工作,疾

站长推荐: