圖片來源: 

wikimedia、pixabay

美國財政部、網路安全暨基礎架構安全署(Cybersecurity and Infrastructure Security Agency,CISA)、聯邦調查局(FBI)與美國國防部旗下的網路司令部(U.S. Cyber Command,USCYBERCOM),在本周公布了針對席捲全球多國銀行,盜走近20億美元的北韓駭客集團BeagleBoyz分析報告。BeagleBoyz隸屬於北韓駭客組織HIDDEN COBRA,也是在2016年企圖盜走臺灣遠東銀行6,000萬美元的元兇。

根據美國的調查,BeagleBoyz現身於2014年,自2015年到2020年間鎖定全球數十個國家的金融機構發動攻擊,涵蓋臺灣、孟加拉、巴西、印度、日本、新加坡、烏干達、智利及南韓等,嘗試自當地的金融機構竊取近20億美元的金額,最惡名昭彰的一次,是在2016年時成功自孟加拉銀行取走8,100萬美元

駭客行動為北韓政府主要的財務來源之一,該研究並未公布BeagleBoyz真正得手的金額,僅說不法所得最終都流向了北韓的銀行,但揭露了該集團的攻擊手法,同時也提供緩解措施。

外界將BeagleBoyz搶劫全球銀行的行動稱為FASTCash,該集團先藉由網釣、水坑攻擊,或是委託第三方駭客取得入侵受害銀行網路的管道,接著尋找特定的攻擊目標並長駐系統,一方面下載其它惡意程式,另一方面還會躲避偵測,再取得關鍵憑證。

BeagleBoyz相準銀行內部的兩大系統,一是與環球銀行金融電信協會(SWIFT)介接的終端系統,二則是負責銀行支付交換應用的伺服器。SWIFT為銀行與其它銀行或分行交流的平臺,駭客藉由建立偽造的電文,把資金盜轉到駭客的帳號;而在入侵了支付交換系統之後,駭客則可指示該行在全球的提款機(ATM)同時吐鈔。

孟加拉銀行及遠東銀行的案例屬於前者,駭客企圖透過孟加拉央行的SWIFT終端機,指使美國紐約聯邦儲備銀行轉出9.51億美元,駭客原本準備分數十次盜轉該款項,但在成功移轉8,100萬美元之後就被發現而阻止;駭客亦試圖透過遠銀的SWIFT系統盜轉6,000萬美元。

至於後者的攻擊場景則更像科幻片,在2017年時,攻陷銀行支付交換系統的BeagleBoyz讓散布在全球逾30個國家的ATM同時吐鈔,隔年亦成功讓23個國家的ATM在同一時間自動吐鈔。臺灣的第一銀行也曾在2016年,發生類似的遭駭事件

該報告建議全球的金融機構應該全面性強化其安全措施,才能有效防堵FASTCash攻擊,任何單一的防範機制都是不足的,從強化發送電文的憑證認證、獨立支付系統架構、將重要任務與操作環境隔離、加密與憑證有關的所有傳輸,到監控異常行為等,當然也包括最基本的即時修補各種安全漏洞、關閉不用的連網服務、嚴格規定使用權限、採用防火牆與安全軟體,以及限制員工的下載及隨身碟的使用行為等。


Advertisement

更多 iThome相關內容