远东商银18亿遭窃!最新调查曝光:北韩菁英骇客全球入侵捞数亿
▲美国网路安全公司「火眼」指出,远东银行遭盗窃新台币18亿元为北韩菁英骇客组织「APT 38」所为。(图/《ETtoday新闻云》资料照)
美国网路安全公司「火眼」(FireEye)3日公布调查报告,隶属于北韩菁英骇客组织「Lazarus」的「APT38」特别针对金融机构发动攻击,在网路上攻击全球银行,台湾远东国际商业银行也在2017年10月遭骇客植入木马程式,骇进SWIFT系统盗转新台币18亿元。
根据「火眼」在官方网站上公布调查结果,「APT38」骇客团体与其他北韩骇客有交流活动,也会共享恶意软体的开发资源,但「APT38」会特别为北韩政权找到金融机构,侵入管道和技术以获得更多的金钱,且独特的手法和技术程序(TTP)能辨明与其他骇客团体的不同。
调查报告指出,「APT38」入侵金融机构的管道先是搜集大量资料,发动「水坑式」(Watering)渗透,让金融人员浏览财金资讯网站时被植入恶意程式;接着内部侦查资讯,骇进SWIFT系统并窜改交易报表,转移预计窃取的资金至其他国家或非盈利组织,最后使用破坏性工具毁灭证据。
由于「APT38」的特色是毁掉证据不择手段,即便最后可能会破坏「原先熟悉受害者的网路系统」,他们也不怕未来的任务会失败,直接启动毁灭系统。另外,根据「火眼」汇整的资料,「APT38」组织潜伏于金融机构的时间平均高达155天,最长的案例甚至高达678天(近两年),至今已知受害银行非法窃取超过10亿美元。
「火眼」报告,从至少2014年以来,「APT38」已入侵盗取至少11国、超过16个金融机构。受害银行包括2015年11月被抢的越南先锋银行(Tien Phong Bank)、2016年2月遭窃取的孟加拉银行(Bangladesh Bank)、2017年10月遭转帐的台湾远东国际商业银行,以及2018年1月遭入侵的墨西哥外贸银行(Bancomext)和5月被骇客进入的智利银行(Banco de Chile)。