刚入秋的这一周,吹起了台湾金融圈另一次资安风暴。
在10月3日这一天,远东国际商业银行(简称远银)的国际汇款系统SWIFT(环球银行间金融电讯网络)发生了交易系统异常,骇客盗转了18亿元汇款到海外三国,远东银行在3天后的傍晚对外公开,立刻震惊了全台。
远银在10月3日上午,从资安设备上侦测到网络异常行为,随后发现有系统毁损,确认遭到骇客攻击而植入病毒程式,当时清查后发现,只有PC和Windows服务器受到影响,其余主要交易系统,如存、汇、网银、ATM及信用卡等皆正常运作,分行服务都运作如常。因此,远银刚开始以为是只是一起单纯的病毒入侵事件,也先向金管会通报遭骇客植入病毒。
第一时间远银先在总行成立紧急应变小组,由远银总经理亲自主持,并在资讯处成立战情指挥中心,由远银O&T副总经理与资讯处处长担任现场指挥,还成立了攻防小组及设备复原小组。另外,远银也找来多家资安业者,如趋势、微软等组成团队盘查系统,以确认影响范围,后来找出并删除病毒及后门程式,尤其还发现了过去没有出现过的病毒。
像微软原本在远东银行就有常驻人力,除了检查远银的微软环境是否异常外,如针对AD服务,微软就会对系统架构、权限、使用者稽核管理机制、事件纪录进行查核。微软团队也尝试寻找是否有新的攻击手法,“尤其会检查是否出现了零时差漏洞,不过,没有发现有这样的漏洞存在。”台湾微软资讯安全暨风险管理经理林宏嘉表示。
但是,过了10月4日中秋假期隔天,10月5日,远银在SWIFT系统修复后对账时,却发现了7笔伪冒交易,远银才惊觉是SWIFT银行与银行间跨国转账系统遭骇客攻击。
骇客入侵SWIFT系统来操控转账,盗转钜额款项,并分批汇往不同海外银行,总计金额高达6,010.4万美元,当中分别有5,700万美元汇往柬埔寨,210万4千美元转至斯里兰卡,另外的100万美元则汇往美国的银行账户。远银当日晚间也随即至刑事局侦九队报案,并向国际刑警组织及SWIFT Alliance请求协助调查,也将遭骇电脑封存,交由刑事局协助鉴识,以厘清骇客入侵手法及途径,并同时再次通报金管会。
在10月6日,也就是星期五晚上6点57分,远银在公司官网发布重大讯息公告,说明因发生“电脑病毒事件”,而影响部分SWIFT系统汇款交易,其他临柜的存汇、转账、ATM等交易系统则未受影响,不过并未说明骇客是透过何种攻击手法入侵,只强调目前已透过跨行合作的通汇银行向受汇银行持续追回款项。
金管会也于同日发布新闻稿证实,远银SWIFT系统疑似遭骇客入侵,发生盗转资金的情形,金管会也同步清查全台其他银行,确认受骇银行只有远银一家,其他银行并未回报类似的受骇情形,SWIFT系统均属正常。
而斯里兰卡警方依台湾刑事局提供情资,在锡兰银行逮捕1名试图取款的斯里兰卡籍男性,疑似是远银盗领案的成员之一,并在办公住处查扣405万卢比(约2万6,400美元),怀疑是已遭提领的远银赃款,后来逮捕到的另一名嫌犯,发现是该国国营瓦斯公司会长Shalila Moonesinghe,有1百多万美元窃自远银的汇款,汇入了他的私人户头。
骇客攻击手法初步曝光:熟谙远银内部,先删除防毒软件程序
由于目前案件由刑事局侦九队负责侦办,相关的恶意程式分析也交由刑事局研发科负责相关的分析。例如,目前已经发现了3支后门程式,以及2支病毒程式,目前由刑事警察局及资安公司协助分析中。不过,相关的案情尚未完全明朗前,我们也透过一些不具名资安专家的分析,提供一些可以持续关注的案情焦点。
首先,不具名的资安专家指出,远银SWIFT系统遭骇事件和先前国外爆发的案例一样,入侵的骇客都非常了解该入侵银行的作业模式,所有就有机会透过各种水坑式攻击等方式,进入远东银行的内部网络。
再者,不具名资安专家表示,骇客进入远银内部网络后,第一件事情就是设法删除远银使用防毒软件的部分程序的执行档,初步判断砍掉7个防毒程序后,再透过执行一个勒索软件,加密部分电脑中的档案。
第三步,该名资安专家表示,接下来就是散布相关的恶意程式。据了解,主要是透过启动排程功能“schtasks”进行删除的程序,并且利用“cmd”命令提示字元,登入像是C槽内的网络帐密。从先前刑事局透露发现的几支恶意程式,目前观察到主要是用来登入特定的IP地址、并在特定的路径中,创建启动勒索软件的时间。
从刑事局先前透露的资讯也可以发现,刑事局发现的恶意程式功能包括散布、加密及远端遥控功能,在感染远银内部电脑后,也会搜集相关情资进行回报,并且加密部分电脑的档案资料。刑事局指出,因部分电脑档案遭加密,导制警方无法更进一步追踪恶意程式的入侵途径,甚至于,连后续的账款转账的金额和流向也因为是加密档案,只能透过国际SWIFT联盟取得相关的资料。
刑事局也表示,追查过程中也发现,骇客透过美国和荷兰等国的中继站,隐匿踪迹,也加深追查难度,目前刑事局第一时间分析出恶意程式的特征,但是,要真正查出骇客如何入侵远银的SWIFT系统,才是真正有助于厘清案情的方法。
资安专家研判,因为要了解SWIFT国际汇款系统是需要对于该产业以及相关系统流程非常娴熟且专精,即便是国际骇客组织“人才济济”,要随便就找到可以如此深入了解SWIFT系统的专家,也并非容易的事情。
不过,可以从先前爆发的多起银行SWIFT系统来了解骇客入侵手法,趋势科技全球核心事业部资深协理张裕敏则在去年HITCON举办的一场金融资安科技研讨会中,便针对SWIFT网络攻击作了技术分析。
在会中,张裕敏针对多起银行SWIFT系统遭到入侵事件进行汇整分析五个共通点,首先,受骇银行内部网络都被骇客占领;其次,骇客也入侵并掌握SWIFT国际汇款交易系统的服务器;第三,骇客可以透过网络,远端连上SWIFT服务器;第四,入侵的骇客对于SWIFT Message Type以及对SWIFT系统的Alliance Access软件也十分熟悉;最后,在孟加拉央行遭骇及越南国际先锋银行遭骇的事件中,都发现恶意程式内的英文有拼错的迹象。
趋势科技全球核心事业部资深协理张裕敏去年在一场演讲中,分析了SWIFT骇客入侵有4种可能管道。
从提升交易安全性和强化资安确保SWIFT安全
张裕敏也从两个面向提供预防之道,从各国银行的建议,主要都偏重在强化交易系统认证安全性,不论是SWIFT国际汇款交易需要进行指纹辨识确认,或者是在2016年5月,建议SWIFT交易应该引进双因素认证,甚至是采用USB传递交易资讯等,目的都是为了提高交易的安全性。
从资安强化作为来看,张裕敏认为,也可以从五个层次来进行。首先,应该要落实应用程序的控管(Application Control);再者,也必须做到档案整合性测试和系统整合性测试(Integrations Check);第三点,包括所有的连线控管、帐密管控以及特权账号管理等,都必须进行严密的存取控制(Access Control);第四点,落实稽核记录以及监控(Auditing Log and Record)是确保所有环节都有落实的管理之道。
最后一点,也是张裕敏最深切的提醒就是,所有资安或者是操作人员都必须要有足够的警觉性,所有不应该出现任何警示的地方,就算只出现一次的警示,都必须进行追查,确认不是可疑资安事件的引爆点。他指出,唯有“在不疑处有疑”,才有可能做到制敌机先或者是提前预警的效果。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09