【本報綜合報導】台灣遠東國際商業銀行可能遭到北韓「拉撒路」(Lazarus)駭客集團入侵竊取資金,引起國際關注,《紐約時報》報導,過去被西方嘲笑的北韓駭客現在已神通廣大。
遠東銀行遭駭盜轉十八億元案發至今,雖然超過九成九的款項都已追回,但對企業IT部門、銀行CIO或資安圈而言,更重要的是找出駭客入侵銀行的手法,才能從中學到教訓,避免自己成為下一家受害企業。但是,駭客如何入侵遠銀,刑事警察局遲遲沒有透露更多細節,而台灣參與調查的資安公司也因保密協定,而拒絕透露更多處理過程。
國外資安公司McAfee兩名資安研究人員,在十二日發表了一篇「偽勒索軟體在台灣銀行搶案中的角色分析」一文,詳細透露了,他們分析遠東銀行一支惡意程式木馬後的結果,從程式碼中找到二個遠東銀行的網管帳密,這正是駭客可以進一步入侵SWIFT系統的關鍵之一。
發表這篇分析的是McAfeeg首席工程師和科學家Christiaan Beek,以及McAfee網路安全部門院士兼總科學家Raj Samani。因為有位參與遠銀入侵事件調查的不明人士,將一支惡意程式樣本上傳到線上掃毒服務Virustotal,也讓這個惡意程式樣本曝光,McAfee正是取得了這個惡意程式樣本,才能進行這次的分析。
刑事警察局早在本月五日傍晚接獲遠銀報案後,就查扣了SWIFT系統、電腦主機等,十三日時透露,已經從十一個可疑程式中找出六個惡意程式,但刑事警察局只有簡單描述這批惡意程式的功能,包括散布、加密及遠端遙控功能,除了感染遠銀內部電腦,也會蒐集相關情資進行回報,並且加密部分電腦的檔案資料。刑事警察局以偵察不公開為由,只有簡單幾句話的說明,沒有透露更多細節,對於駭客如何入侵遠東銀行的管道也三緘其口。
反倒是根據McAfee最初接獲的消息(另一個McAfee沒有說明的來源),駭客入侵的起點,是一封附件藏有後門的釣魚郵件。McAfee也展示了這些釣魚信件的兩張截圖,一張是釣魚郵件要求受害者打開一個偽造的「Docusign文件」存取網頁,另一個則是偽裝成一個加密PDF線上文件的開啟連結,但這些附件連結都是假冒的,只要受害者點選連結來開啟文件,都會轉向到一個惡意程式網站,來下載一個不明檔案到受害者的電腦中。