【遠東銀行遭駭追追追】權限控管超級重要!駭客入侵遠銀關鍵,就是這兩組帳密遭盜



綜合金管會和McAfee的分析,可以推測,正因駭客取得最高權限的帳密,又能連線到沒有採取實體隔離的SWIFT伺服器,攻擊者才能進一步控制SWIFT系統。這2組帳密正是遠銀遭駭盜轉事件的關鍵。(圖片來源/Chef)。

遠東銀行遭駭盜轉18億元案發至今,雖然超過9成9的款項都已追回,但對企業IT部門、銀行CIO或資安圈而言,更重要的是找出駭客入侵銀行的手法,才能從中學到教訓,避免自己成為下一家的受害企業。但是,駭客如何入侵遠銀的細節,刑事警察局遲遲沒有透露更多細節,而臺灣參與調查的資安公司也因保密協定,而拒絕透露更多處理過程。

倒是,國外資安公司McAfee兩名資安研究人員,在12日發表了一篇「偽勒索軟體在台灣銀行搶案中的角色分析」一文,詳細透露了,他們分析遠東銀行一支惡意程式木馬後的結果,從程式碼中找到了2個遠東銀行的網管帳密,這正是駭客可以進一步入侵SWIFT系統的關鍵之一。
發表這篇分析的是McAfeeg首席工程師和科學家Christiaan Beek,以及McAfee網路安全部門院士兼總科學家Raj Samani。因為有位參與了遠銀入侵事件調查的不明人士,將一支惡意程式樣本上傳到了線上掃毒服務Virustotal,也讓這個惡意程式樣本曝光。McAfee正是取得了這個惡意程式樣本才能進行這次的分析。

刑事警察局早在在10月5日傍晚接獲遠銀報案後,就查扣了SWIFT系統、電腦主機等,13日時透露,已經從11個可疑程式中找出了6個惡意程式,但刑事警察局只有簡單描述這批惡意程式的功能,包括了散布、加密及遠端遙控功能,除了感染遠銀內部電腦,也會蒐集相關情資進行回報,並且加密部分電腦的檔案資料。刑事警察局以偵察不公開為由,只有簡單幾句話的說明,沒有透露更多細節,對於駭客如何入侵遠東銀行的管道也三緘其口。

反倒是根據McAfee最初接獲的消息(另一個McAfee沒有說明的來源),駭客入侵的起點,是一封附件藏有後門的釣魚郵件。

《全文請見iThome(https://www.ithome.com.tw/news/117520)》