iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 4
1
Security

三十篇資安實例分享及解析系列 第 4

三十篇資安實例分享及解析DAY 4--遠東國際商業銀行18億元被盜轉

日昨有位讀者留言,都是阿共啊ㄟ陰謀?? 謹以此篇證明,北韓金小胖也是很厲害的,沒錢就來台灣的銀行轉帳一下...

銀行業每日資金流量極大,以107年8月底根據央行統計,目前台灣金融機構,本國銀行一共38家,外國及大陸銀行在台分行一共29家,信用合作社共23個單位,農會信用部共283個單位,漁會信用部28個單位,郵局全國共1,298所,人壽保險公司23家,產物保險公司21家,票券金融公司8家,證券金融公司(此非證券公司)2家,國際金融業務分行共60個單位。綜觀以上資料,我們就不難想像,如果某個體系內的單一個體資安出問題,可能其他相關單位都得要繃緊神經,畢竟誰都不想成為下一個被攻擊的對象。

(1)事件:遠東國際商業銀行18億元被盜轉
(2)被攻擊單位:遠東國際商銀
(3)系統:SWIFT系統
(4)時間:2017年10月
(5)攻擊方式:木馬程式

以下是遠東國際商業銀行的重大訊息公告內容:

1.事實發生日:106/10/06
2.發生緣由:因受電腦病毒駭客入侵,影響部分SWIFT交易。
3.處理過程:目前已檢測出病毒程式,並由防毒軟體刪除。所有受影響之SWIFT交易款項均透過通匯行要求受款行退回。其他通匯交易已加強控管機制並經主管逐筆確認後執行。本事件已向司法機構報案,請求SWIFT Alliance,及委由專業資安顧問公司協助處理。
4.預計可能損失:可能損失低於美金50萬元,或可望為0元。
5.可能獲得保險理賠之金額:0元
6.改善情形及未來因應措施:本行將加強SWIFT交易內控機制,另委由外部專業資安管理與
技術顧問公司,檢視現行網路安全防禦,提出強化措施建議。

這件事情台灣各大報紙引述是美國網路安全公司火眼(FireEye,相關網址: https://www.fireeye.com/ ,其中有關遠銀相關報告:https://content.fireeye.com/apt/rpt-apt38 ) ,以下筆者引述自由時報的報導內容:

『此起案件為北韓菁英駭客組織「APT 38」所為。
「火眼」在官網上公布調查結果,指出隸屬於北韓駭客組織「Lazarus」的「APT 38」,雖然會與其他駭客團體共享惡意軟體開發資源,但該組織係針對金融機構發動攻擊,有其獨特的侵入戰術、管道、技術與程序(TTP),足以辨明和其他北韓駭客組織的不同之處。
「火眼」指出,「APT 38」每次犯案遵循相同模式,大致可分為6個步驟,分別為「訊息收集」、「初步滲透」、「內部偵查」、「攻擊SWIFT伺服器」、「轉移資金」、「銷毀證據」,該組織作風謹慎,但獨特之處在於他們為達到湮滅證據的目的,不怕妨礙到未來的入侵行動,也要把受害者的網路系統整個摧毀掉。』

台灣的金融管理委員會,事後針對遠東銀行,提出以下三個缺失:

1.未落實資安控管 SOP,沒有遵循最小授權原則
2.未依規定進行網段隔離
3.事後檢視稽核未落實。

筆者針對以上三點,在此簡單做個分析,所謂最小授權原則(或最小特權原則Least Privilege),很多網路上解釋,"在完成某種操作時所賦予網路中每個主體(用戶或進程)必不可少的特權,應限定網路中每個主體所必須的最小特權,確保可能的事故、錯誤、網路部件的篡改等原因造成的損失最小"。這樣解釋很拗口,其實就是『一個管理角色不擁有另一個管理角色的權限。』所以筆者常跟公司MIS詢問,是否做好權限區分,雖然權限被限縮,造成很多不便,但權衡得失之下,很多事情就得要妥協,以免不必要的損失發生,這是很基本的工作,但筆者相信台灣很多中小企業光要做到這點,幾乎就有困難了。權限不能界定清楚,業務交互重疊之下,除了容易造成簽核流程混亂,更讓業務機密外洩機會升高,因此最小授權原則就得要明定權限表,有的MIS認為只要定時修改就好,然而,很不幸的,在這個資安升級的年代裡,MIS要了解一件事,就是隨時更新可能變成一種常態,畢竟敵人都是無預警的入侵,隨時都要做好準備。

其次,根據報導,『工作站的做法有合規,但主機卻沒有做到網段的隔離。』,這個問題,筆者的想法是,其實這種IP切割分配的方式,對於一般的MIS都是很基本的技術,並非太困難,但為何主機沒去作網段隔離,尤其是在金融業,所以筆者跟金管會看法一樣,這是內部稽核人員需要去嚴查的問題了,如果真的是MIS單位問題,那MIS就得負相關的責任及懲處。

最後一項,從事稽核工作的筆者,就有點要說明了,首先,大部分MIS部門平時在接受查核時,都不太願意給予稽核人員資料,甚至故意隱瞞資料,或者口頭含混帶過,如果稽核部門人數足夠,自然能強力盯緊MIS部門,然而,到一般企業,稽核單位人數很多人數基本上是不足的,而且也不一定具備資安的概念,最後也只能照表宣科,流於形式,但是該做的還是得要執行。

其次,稽核是『事後』稽核,並非『事前』防範,所以遠銀一定都是被入侵的事情發生之後,稽核單位才介入調查,筆者也不太清楚,為什麼遠銀會被金管會點出事後稽核未落實? 最有可能狀況,就是稽核單位查核整體事件報告,也是含糊帶過,甚至連平常的警示都未做,才會被列入缺失。

最後,雖然照今年五月新通過的資安法,公務及受規範的公務機關都需設立資訊長(詳請參考中時報導:https://www.chinatimes.com/newspapers/20180512000473-260114 ),然而,這個位置目前看起來擺設意義大於實質,到底實務上裡做到怎樣的水準,筆者都要打上問號,但如果只是在稽核內稽時才開始緊張,那麼資安如何能夠落實呢?

筆者倒是很希望能到中時所報導的資安維護計畫這段(如下引用的部分),但有很高的機率,筆者看到會很失望的,但總是要有開始,之後再要求慢慢修正吧。

條文也明定,關鍵基礎設施提供者、公營事業、政府捐補助的財團法人等「特定非公務機關」,應向主管機關提出資安維護計畫,為因應資安事件,也應訂定通報及應變機制;知悉資通安全事件時,應向中央目的事業主管機關通報。


上一篇
三十篇資安實例分享及解析DAY 3--台積電遭病毒攻擊,部分產線停擺
下一篇
三十篇資安實例分享及解析DAY 5--7-11的icash點數遭兌換
系列文
三十篇資安實例分享及解析30
1
Sergeyau
iT邦研究生 4 級 ‧ 2018-10-13 10:06:50

網段隔離應該不適技術問題而是制度/管理上的問題。

應該是「常識」,呵呵!

Sergeyau iT邦研究生 4 級‧ 2018-10-13 22:01:55 檢舉

有時候只能嘆息

1
htz_sec
iT邦新手 5 級 ‧ 2018-10-13 18:01:29

『此起案件為北韓菁英駭客組織「APT 38」所為 根據他們說明內容 只是看起來像 似乎沒有直接性證據證明

請您看FireEye的原文報告,台灣的新聞是抄裡面的資料,文內有連結,我僅就現有的資料進行分析,假如你有任何疑問,歡迎您到firEye詢問!

htz_sec iT邦新手 5 級‧ 2018-10-13 22:42:22 檢舉

認真回答你 他只是 說 Targeting and Mission有包含、 global targeting 有列入 連結新聞還是2017 彭博社報導 所謂的直接性證據 應該是說 慣用手法 慣用工具 目前據所知道 應該是 Lazarus

謝謝您認真的回答,謝謝您如此認真拜讀我的文章,也歡迎您分享您寶貴的知識,幫忙我能夠更完整的了解整個事件,不過,有件事麻煩大哥您,您的回應,是否能加標點符號呢?方便小弟我能夠更了解您的意見,謝謝您了!

1
牛哥
iT邦好手 1 級 ‧ 2018-10-15 11:36:33

/images/emoticon/emoticon12.gif
其實表面上看來是一句玩笑話!?
若有仔細去探究,也許是牽涉到到國防層次的戰略攻防呢...

我要留言

立即登入留言