https://newera17031.activehosted.com/index.php?action=social&chash=0245952ecff55018e2a459517fdb40e3.2287&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=0245952ecff55018e2a459517fdb40e3.2287&nosocial=1

觀點

孟加拉央行攻擊事件的啟示–攻進金融業核心應用

2016 / 08 / 12
張維君
孟加拉央行攻擊事件的啟示–攻進金融業核心應用

2016全球上半年景氣持續低迷,然而駭客的網路攻擊事業卻為他們賺進大把銀子。除了在全球蔓延的勒索軟體CrytoWall、Locky、Cerber等作者荷包滿滿,因為不少受害者支付比特幣以贖回檔案外,今年上半年另一群賺取不義之財的就是攻擊孟加拉央行,海撈$8,100萬美金的犯罪集團。 

過去與銀行業相關的網路攻擊,不是網頁系統遭到入侵導致客戶個資外洩,就是攻擊網路銀行使用者端再進而盜轉其帳戶存款。然而就在去(2015)年2月卡巴斯基公布一份進階持續威脅(APT)事件調查報告,名為Carbanak的駭客集團已入侵約100家金融機構,實際入侵ATM系統、網路銀行平台或SWIFT外幣結算平台等,直接盜領金錢。

他們讓路邊的ATM系統自動吐鈔,車手在旁等候直接取款。或竄改帳戶餘額,將1萬元存款改成10萬再盜領9萬元,在當事人毫不知情下將錢轉走。受害銀行遍及全球,較集中於俄羅斯、烏克蘭、德國與中國,銀行損失金額可能總計高達10億美金。當時報告已提醒,此攻擊行動仍在持續當中,不只銀行、金融業需提高警覺,在零售業的POS系統或公關公司都曾發現惡意程式感染足跡。 

因駭客拼錯字才被揭發的攻擊事件 
繼Carbanak攻擊之後,今年2月孟加拉央行也淪為APT攻擊的受害者,駭客入侵孟加拉央行資訊系統,並取得SWIFT系統登入憑證,駭客假冒孟加拉央行發出轉帳請求,成功轉走孟加拉央行存放於紐約聯邦準備銀行帳戶中的$8,100萬美元外匯存底。事件發生後,導致總裁Atiur Rahman為此下台,而包括越南Tien Phong銀行、菲律賓銀行也陸續傳出SWIFT系統曾遭攻擊。同時,更多銀行紛紛尋求鑑識服務,以調查內部可疑活動。

根據外電報導,駭客對聯邦準備銀行共發出35筆轉帳請求,總金額將近10億美金,其中30筆遭擋下,而4筆之所以成功地轉到菲律賓RCBC銀行,則是利用2月5日隔天是休假日,Fed無法聯繫上孟加拉央行,加上轉帳過程所有憑證、程序皆正常,Fed因而放行,緊接著資金被菲律賓銀行轉到賭場進行洗錢,而另一筆則是轉到斯里蘭卡銀行後欲轉給某非營利機構,然而駭客卻在轉帳時誤把"foundation"拼成"fandation",引起銀行關注而轉向孟加拉央行進一步確認時,才揭發整起詐騙事件。 

與Carbanak攻擊手法類似,駭客先入侵孟加拉央行某台端點電腦後進入內部網路,潛伏2至3個月,透過惡意程式觀察內部系統、風控稽核機制如何運作,進行交易轉帳須取得哪些人審核通過,並側錄其帳號密碼。孟加拉央行透過Alliance Access軟體(SWIFT的產品之一)來連接SWIFT網路,根據參與鑑識的BAE公司指出,駭客進一步研究該軟體的設定檔,找出漏洞以繞過系統的檢查機制,全面掌握來自SWIFT網路所傳回的確認訊息,了解甚麼時候該回應以及如何回應。甚至操控印表機,阻擋系統自動列印轉帳後的記錄報表,變成列印竄改後的文件。駭客極盡所能隱藏行蹤,以便讓後端有更充裕時間洗錢。 

 
 孟加拉央行攻擊示意圖

越南、菲律賓銀行亦傳出遭攻擊
在孟加拉央行事件浮出檯面後,越南Tien Phong銀行也發出聲明表示,在去年第四季曾成功阻擋發出假冒SWIFT轉帳請求的詐騙行動,由於及時偵測到可疑行為,銀行未造成任何損失。與孟加拉央行不同,越南Tien Phong銀行是透過第三方服務廠商間接連上SWIFT網路,而該廠商的應用系統遭植入惡意程式,因此TP被發出假冒請求,TP銀行表示稍早SWIFT組織曾通知銀行該款應用系統容易遭受攻擊,因此他們加強監控交易活動,在發現詐騙攻擊事件後,TP銀行已停止與該廠商合作並改採能直接連上SWIFT網路的新系統。此外,不同於孟加拉央行印表機被操控,這次是鎖定PDF Reader發動攻擊,只要開啟含有SWIFT交易記錄確認報表訊息的PDF檔案,木馬程式就會控制PDF Reader移除相關詐騙指令。

緊接在越南Tien Phong銀行之後,賽門鐵克在其部落格上指出,菲律賓某家銀行的SWIFT系統也受到攻擊發出假冒轉帳請求,且用來攻擊的惡意程式與先前孟加拉央行、越南TP銀行如出一轍。同時,在駭客所使用的工具中,賽門鐵克發現與駭客組織Lazarus之前用在幾起網路攻擊事件的惡意程式有共用程式碼。早先Sony影視娛樂遭入侵以及南韓的攻擊事件均指向是Lazarus所為。

在接連傳出銀行SWIFT外匯訊息平台遭入侵發出假交易後,SWIFT組織儘管強調SWIFT網路與系統未受入侵,是客戶端環境未做好安全防護,然而隨著SWIFT網路系統已被全球超過11,000家大小不等的金融機構採用,不宜再任由各企業對網路安全各自採取強度不一致的防禦措施。SWIFT組織除第一時間緊急釋出安全更新程式以協助客戶及早發現異常外,也提出客戶安全強化計畫,包括呼籲會員踴躍通報與分享資訊,加強SWIFT相關軟體產品的安全性,提供安全指引與稽核框架,支援交易異常行為的偵測,以及強化對第三方服務供應商的支援等。

下回將分享: 孟加拉事件帶給我們的8堂課,敬請期待。