孟加拉央行去年2月被駭客入侵,被成功轉走8100萬美元,另一筆2000萬美元轉帳則被中止追回,其餘9億美元轉帳則並未成功。

圖片來源: 

CC 2.0 by ASaber91

繼去年第一銀行ATM遭駭事件之後,10月6日遠東銀行傳出駭客利用SWIFT交易匯款盜走6,000萬美元的事件,再次震驚臺灣社會及金融圈。

其實,駭客入侵金融機構間用於溝通與交易的SWIFT國際匯款系統,這種攻擊手法並非是首次出現,國際上已有數間銀行受害,像是2016年2月孟加拉央行遭駭轉走8,100萬美元的事件,就是一例,當時就讓全球關注金融科技安全的人都開始警惕。

這次遠東銀行遭駭事件,就發生在臺灣,更是引起國人對於此攻擊行為的關注。雖然現階段調查仍在持續進行中,但我們或許可以先從國際上發生過的類似案件,一窺國際犯罪集團針對SWIFT交易系統攻擊的方式。

駭客入侵孟加拉央行SWIFT國際匯款系統,造成8,100萬美元損失

近年,全球已有多家銀行SWIFT系統,遭駭客植入惡意程式,發出偽造的付款指示並竊取匯款。其中以孟加拉央行遭駭事件,最受注目,駭客利用其SWIFT權限,嘗試從該行在美國聯準會紐約分行轉走9.51億美元,雖然最後僅成功盜轉走8,100萬美元(約新臺幣26.6 億元),但龐大的損失金額,更是讓此事件成為全球注目焦點。

在這起事件的初期調查中,根據當地官方的說法,駭客原本打算分成多次來轉帳,但在第五次要轉帳至偽造的斯里蘭卡非營利組織Shalika Foundation時,卻因為帳戶名稱輸入錯誤,把Foundation誤打成Fandation,因而引起注意,並停止之後的轉帳,也讓駭客最後只成功轉出部分金額,到菲律賓的偽造帳戶。

據國際媒體Bloomberg報導,當時的臨時調查報告顯示,孟加拉央行至少32臺電腦被控制,運行SWIFT系統的專用伺服器,位於孟加拉央行會計和預算部的內部系統中,透過一臺電腦專門來與SWIFT系統連線,並有3個終端機可供登入使用。

而且,在稽核紀錄的分析結果中還發現,駭客第一次登入可能是在1月24日,並在1月29日利用管理權限安裝「SysMon in SWIFTLIVE」,接著駭客每天登入,直到2月6日為止。

後續的調查結果也發現,孟加拉央行只用便宜的交換器來連結SWIFT轉帳系統,並沒有防火牆保護,這也促使SWIFT認證機制被駭客盜用進行轉帳,成為遭駭原因之一。

攻擊者對於SWIFT系統運作方式熟悉,受害銀行可能難以察覺

這樁號稱金融資安史上最大的銀行竊案,也引起各界對於整起孟加拉央行遭駭事件的重視,不少資安業者持續揭露相關調查報告。

像是在2016年4月時,資安業者BAE Systems研究員針對孟加拉央行攻擊事件,公布相關調查結果,並分析出駭客控制SWIFT系統後的8大關鍵手法。

這當中,包括控制SWIFT系統並安裝惡意程式、讀取必要資訊、修改SWIFT軟體的連線,監控SWIFT確認訊息、攔截SWIFT印出訊息、資料庫記錄刪除、取得帳務平衡,以及發送登入紀錄。

若從攻擊流程的角度來看,駭客似乎對於整個系統的運作方式,已有一定的熟悉。像是他們會監控送到印表機的SWIFT訊息,並且在必要時攔截不印出,同時也會掃描其中的RPC/FAL檔案,並刪除有關的資料庫記錄,藉此隱藏曾經入侵的訊息,避免被發現。

資安業者長期觀察並揭露,駭客團體鎖定金融系統攻擊的4大流程

當時,環球金融電信協會(SWIFT)也發出了警告,懷疑這起孟加拉央行遭盜轉並非個案,是駭客鎖定多家銀行的廣泛攻擊行動,而實際情況也是如此,隨著許多資安研究員發掘出更多訊息,多家資安業者均將矛頭指向惡名昭彰的Lazarus犯罪集團。

時間來到今年4月,距離孟加拉央行SWIFT系統遭駭已有一年多時間,卡巴斯基實驗室(Kaspersky Lab)特別公布了一份對於Lazarus駭客組織,在這段期間的追蹤報告。

報告中指出,該組織在東南亞、歐洲銀行都留下不少攻擊痕跡,基於對這些銀行攻擊的取證分析結果,卡巴斯基實驗室研究人員掌握該組織使用的惡意程式樣本,同時也還原了該組織的網路犯罪手法。

他們將駭客入侵金融機關SWIFT系統的流程,分成4大階段。在初期入侵階段,駭客會想辦法入侵到銀行內部,第二階段將入侵其他銀行主機並植入後門程式,以取得立足點,第三階段則是經過一段時間的內部潛伏偵察,以瞭解銀行內網路與SWIFT系統運作,最後再利用SWIFT轉走款項,並規避內部安全檢測機制。

綜合來看,面對這樣的攻擊行徑,已經成為全球金融體系,都要面對的資安議題。在上述追蹤調查報告中,也顯示出Lazarus駭客組織,他們在策略、技術與步驟方面,都有一定的規畫與手段,並可將此攻擊模式,複製到不同銀行並展開攻擊,而且,整個入侵與潛伏流程可能經過數個月的時間。

快速回顧孟加拉央行SWIFT遭駭攻擊手法

在去年2月針對孟加拉央行SWIFT系統的攻擊流程中,駭客主要將惡意程式植入行內SWIFT系統,之後破解加密的認證機制並讀取相關資料,並修改SWIFT軟體的連線,以及監控與攔阻SWIFT系統的通訊。透過被害銀行對SWIFT發出轉帳指示後,將偽冒交易資料紀錄刪除,並更新資料庫資訊設法讓帳務平衡,以延緩被發現時間。

  1. 針對SWIFT軟體伺服器,駭客控制並安裝惡意程式
  2. 惡意程式讀取組態檔案gpca.dat,以掃描SWIFT訊息與需擷取的資訊欄位
  3. 惡意程式修改SWIFT軟體的Oracle資料庫連線程式liboradb.dll,可跳過權限控管
  4. 監控從SWIFT網路來的確認訊息,監控時間到2016年2月6日止
  5. 即時監控送到印表機的SWIFT訊息,必要時攔截不印出來
  6. 掃描RPC/FAL檔案,如果跟駭客轉帳有關,則將資料庫記錄刪除
  7. 若訊息跟駭客轉帳有關,更新資料庫資訊讓帳務平衡
  8. 每小時將登入記錄傳回給駭客(196.20.103.174)

資料來源:BAE Systems、HITCON Talk,iThome整理,2017年10月

 

銀行業SWIFT系統攻擊追追追:
Lazarus犯罪集團的4大攻擊流程

根據俄羅斯網路安全公司卡巴斯基(Kaspersky)指出,名為Lazarus的駭客組織,已經被廣泛認為是孟加拉央行盜轉事件的幕後犯罪集團,他們持續追蹤Lazarus犯罪集團,歷經一年多的調查,今年4月卡巴斯基實驗室公布相關報告,說明他們基於這些攻擊的取證分析結果,同時也還原了犯罪集團的攻擊流程。
■Lazarus攻擊流程解析:

●第一階段:初期控制網站伺服器

為了滲透到銀行內部,駭客集團在初期入侵時,先控制網站伺服器,可能方式有兩種,一是控制網頁伺服器當成進入點,或是感染合法的政府網站並植入漏洞攻擊程式,設法在受害者(銀行員工)造訪該網站時,將惡意程式植入目標對象的電腦上。

●第二階段:入侵銀行內部,找到立足點

為了偵察金融機構概況與後續入侵,駭客會部署後門程式,同時快速入侵到銀行內部的其它主機,以得到一個立足點。另外也會安裝其他工具,為了特權升級的目的。

●第三階段:潛伏偵察銀行內部運作

之後,駭客開始瞭解銀行的網路並識別關鍵資產,像是處理金融交易記錄SWIFT operators’system、SWIFT messaging servers、IT Administrators’system,以及儲存驗證相關資訊的備份伺服器等。

●第四階段:盜取轉帳

準備盜取金錢時,他們會部署特製的惡意軟體,以防止金融系統內部安全機制對SWIFT軟體的檢查,並假冒銀行名義進行轉帳,最後再將所有紀錄進行刪除滅證。

資料來源:卡巴斯基,iThome整理,2017年10月

 


Advertisement

更多 iThome相關內容