台湾史上第一次券商集体遭DDoS攻击勒索事件

2017-02-14 12:38:37 | 来源：ithome | 投稿：米阳 | 编辑：dations

原标题：台湾史上第一次券商集体遭DDoS攻击勒索事件

图片来源:

iThome

才开春，台湾就爆发了有史以来第一次券商集体遭DDoS攻击勒索事件，全台79家券商中，先后有十多家券商收到勒索信件，其中13家的网站下单系统更实际遭DDoS攻击，平均短暂停摆了半个多小时。

不论是交易金额排名数一数二的龙头券商，或是中后段排名的券商，甚至还有4家是单日交易金额不到1亿元的小券商也遭骇客锁定攻击，以2月开市前5个交易日的平均每日交易金额来看，13家券商单日平均交易金额加总起来，近206亿元，占股市每天整体交易量637亿元（以2月8日估算）的3成，全台过半股民使用网路（包括网站和App）下单，若券商下单网站因DDoS攻击而停摆过久，容易造成交易量的降低。换句话说，这波DDoS攻击勒索，影响到200亿元股票的交易安全！

1月24日股市封关之后，在年假期间就出现了第一起DDoS攻击灾情，凯基证券在1月27日发生攻击事件。开市前一天的2月1日开始出现更多灾情，包括券商龙头元大证券，但也有小券商如亚东证券遭殃。开春交易当日，大展证和富隆证都在开盘后遭到攻击。刑事局和台北市刑警局也接获多家券商报案，展开调查。

DDoS攻击灾情继续扩大，隔天，2月3日，接连又出现了3家受害券商。其中，高桥证券更上证交所网站发布紧急公告，公开了Web下单遭遇DDoS攻击停摆的消息。

骇客大都挑选早上8点和10点之间，锁定券商发动洪水式DDoS攻击。攻击对象呈现随机，包括交易金额第二、第二的龙头券商，但也有排名末段的小型券商。

接连多起券商网站下单系统停摆事件，引起媒体大幅报导。迫使金管会紧急出面，当天晚上就提出对券商的五大防护建议。

骇客勒索最多10个比特币，不付款将发动Tb级攻击

券商集体遭DDoS攻击事件公开后，署名Armada Collective的骇客勒索信曝光，骇客勒索7～10个比特币（市值约台币27～30万元）。2月3日时的攻击流量已达约800Mbps，但骇客扬言，这只是试探性的攻击，来证明确实有瘫痪券商网站的实力，券商若不付款，将在2月7日发动Tb级的攻击，攻击流量将是第一波试探攻击的1千倍。

不只遭勒索券商严阵以待，其他金融业者也都绷紧神经，金管会更出面协调NCC、台湾三家ISP业者（中华电信、台湾固网、远传）和行政院资安处，严密监控各证券商网路流量状况，并且提供适时的维护，如果发生异常状况就会直接通报证交所。

第一波试探攻击，连排名第一、二的龙头券商都传灾情

依攻击先后顺序，骇客第一波试探攻击（2月3日前）的受害对象，包括了凯基证券、元大证券、亚东证券、大展证券、富隆证券、永兴证券、元富证券、高桥证券共8家。

从奇虎DDoS监测网站（ddosmon.net），比对台湾79家证券商网站30天内DDoS攻击灾情，可以发现，从1月24日股市封关之后到2月3日为止，有8家证券商遭受攻击。最早遭到攻击的是凯基证券，发生在1月27日早上7点59分的春节年假期间，2月3日当天最后遭攻击的高桥证券则是8点19分遇袭。其中，亚东证券曾在2月1日在7点46分和8点14分先后遭遇DDoS攻击，是第一波试探攻击中唯一遭到两次攻击的证券商。

骇客主要是利用NTP攻击这些证券商，少部分还会利用其他服务协定发动攻击，如SNMP、TFTP。

亚东证券、元大证券就遭到骇客一次利用这三种方式，发动洪水式的DDoS攻击。攻击时间大多是15分钟，如高桥证券网站管理人员指出，骇客并非连续攻击到网路瘫痪，而是打了15分钟后就会停止一段时间。

不过，不只是发生DDoS攻击事件的券商成为勒索对象，也有券商收到勒索信，但网站未遭攻击。大部分证券商在遭到攻击或是拿到勒索信件后，没有直接向警方报案，而是向证券公会或台湾证券交易所提报，再由这两个单位回报给警方。

不少券商如高桥证券、永兴证券、群益金鼎证券等，皆寻求中华电信流量清洗中心来协助阻挡DDoS攻击。

不过，这次的DDoS攻击并非只锁定台湾证券业者，根据资安专家透露，在2月1日也有香港金融业者传出类似遭受DDoS攻击的情况，甚至澳洲有间银行在2月3日同样遭到DDoS攻击。

比对从资安专家取得的勒索信件内容，并和金融业界以及相关人士确认后发现，「攻击台湾证券业者和澳洲某银行的勒索信件内容几乎一模一样，除了比特币钱包的位址不一样之外。」受骇业者确认说道。

资安专家表示，因为攻击台湾和澳洲金融业者勒索信中所提到的比特币钱包网址仍有差异，依照这种国际网路犯罪组织的分工情况来看，幕后主使者可能是同样一个组织，但是针对不同地区的攻击行为，则分别指派给不同的工作小组，不同钱包网址就是认证不同工作小组的「绩效」。这种国际网路犯罪分工是非常精细的手法，层层分工、彼此都不相识，如同去年在台湾爆发的一银ATM盗领事件一样。

Armada Collective这个骇客组织从2015年9月底～10月开始活跃，一般资安研究者都相信，Armada Collective是DD4BC这个从2014年中开始活跃，一旦业者不支付赎金，将会以500Gbps～1Tbps的DDoS攻击勒索赎金骇客组织的模仿犯。

不过，Armada Collective的重要成员已经在2016年1月遭到欧洲刑警组织逮捕，在那之后也传出许多冒名Armada Collective的模仿犯，寄勒索信的骇客集团都自称Armada Collective。最知名的冒名案例就发生在2016年4月，不过这批4月模仿犯最终并没有发动攻击，但光靠恐吓和威胁手法，便已获利超过10万美元。

为何骇客只勒索10个比特币？

长期发动DDoS的费用并不便宜，为何在台湾这波攻击中，骇客勒索金额才10个比特币？资安专家透露，多数模仿犯会使用购买DDoS攻击的服务，称为Booter Service，这类服务业者甚至有推出15分钟的试用服务，一位资安专家笑说：「这也可能为什幺这些骇客组织展现DDoS武力的方式，大多是15分钟DDoS攻击的原因。」

以资安专家提供的不同购买DDoS攻击服务的价目表来看，大概可以简化成，针对一个IP位址发动1分钟DDoS攻击，只需要1美元的攻击成本，对这些模仿犯而言，大多购买月租型DDoS攻击服务来节省成本，这也是为何这类威吓式DDoS攻击时间，多不超过60分钟。资安专家坦言，支付10～20美元就可以获得10个～20个比特币的赎金，是一种非常有「利润」的攻击手法，所以，才出现了许多模仿者。

儘管，刑事警察局初步判断，攻击台湾券商的也是冒名Armada Collective集团的模仿犯，但各界都不敢掉以轻心。因为，不同于去年四月的模仿犯，在第一波台湾券商勒索中，就出现了8个实际遭DDoS攻击的受害券商，反映出骇客不是说说而已。再加上券商皆不妥协付款，资安专家研判，2月7日预告攻击日如勒索信所言，出现爆量DDoS攻击的机会非常高。

攻击预告日只出现了Gb级DDoS攻击

果不其然，还没到预告日，2月6日早上就开始出现第二波灾情，大众证券、群益金鼎证券相继遭到攻击，而且群益金鼎证券在隔天，也就是2月7日攻击预告日还再次受到攻击。另外还多了3间券商也受害，而且是新出现的受灾。累计至2月7日为止，共有13家券商的下单网站，真的遭遇到了骇客的DDoS攻击，所幸，大多在半小时内就恢复正常运作。

根据中华电信防御纪录，攻击预告日的灾情不如骇客宣称的规模，最大攻击流量2～3Gbps，攻击持续时间约20～60分钟，集中在上午9点到11点间，以NTP反射放大攻击、UDP洪水攻击、ICMP洪水攻击为主，攻击IP多来自海外。不过，也有券商2月7日当天才收到勒索信就遭到攻击，信中还扬言，2月13日还会继续发动下一波攻击。

骇客彷彿是收保护费的地痞流氓一样，周周来威胁，勒索对象也没有明显规则，更像是随机勒索。

新型态勒索攻击模式的出现

过去，传统勒索攻击儘管也採DDoS攻击为主，但过去多锁定单一或特定对象，以博奕业者、游戏业者、云端业者、知名网站、知名媒体、知名银行为主，而且攻击目的主要是瘫痪伺服器或服务，就算勒索金钱，勒索金额也动辄上百万元。去年9月这类传统式DDoS攻击的威力，更因IoT殭尸大军的出现，一举提高到了Tb级。

但从台湾这波券商集体遭DDoS攻击事件中，可以看到未来新型态DDoS攻击的模式，因为骇客採用了大量自动化攻击和勒索工具，甚至租用DDoS攻击服务的价格很低，更容易发动集体式的攻击勒索，专门锁定一整个产业而非个体，展开盲目式随机攻击，主要目的就是勒索金钱。所幸，这类盲目攻击的手法和流量，远不如针对式DDoS攻击的威力。

对企业而言，安全防御不只是要做得比隔壁邻居更好就够了，而是得面临骇客的随机式自动化攻击，时时提高警觉，将资安纳入企业战略，建立全面动员的新资安思维才能对抗。

?DDoS灾情时间表?

1月25日

春节股市休市

1月27日

第一起券商DDoS攻击勒索灾情（凯基证）

2月1日

龙头券商（元大证）和小券商（亚东证）出现灾情，香港也传金融DDoS攻击勒索

2月2日

开春交易首日，大展证和富隆证都在开盘后遭到攻击。刑事局介入调查

2月3日

灾情扩大，新增3间受骇券商（元富证、高桥证、永兴证），攻击流量达800Mbps。金管会出面提对策