圖片來源: 

iThome

才開春,臺灣就爆發了有史以來第一次券商集體遭DDoS攻擊勒索事件,全臺79家券商中,先後有十多家券商收到勒索信件,其中13家的網站下單系統更實際遭DDoS攻擊,平均短暫停擺了半個多小時。

不論是交易金額排名數一數二的龍頭券商,或是中後段排名的券商,甚至還有4家是單日交易金額不到1億元的小券商也遭駭客鎖定攻擊,以2月開市前5個交易日的平均每日交易金額來看,13家券商單日平均交易金額加總起來,近206億元,占股市每天整體交易量637億元(以2月8日估算)的3成,全臺過半股民使用網路(包括網站和App)下單,若券商下單網站因DDoS攻擊而停擺過久,容易造成交易量的降低。換句話說,這波DDoS攻擊勒索,影響到200億元股票的交易安全!

1月24日股市封關之後,在年假期間就出現了第一起DDoS攻擊災情,凱基證券在1月27日發生攻擊事件。開市前一天的2月1日開始出現更多災情,包括券商龍頭元大證券,但也有小券商如亞東證券遭殃。開春交易當日,大展證和富隆證都在開盤後遭到攻擊。刑事局和臺北市刑警局也接獲多家券商報案,展開調查。

DDoS攻擊災情繼續擴大,隔天,2月3日,接連又出現了3家受害券商。其中,高橋證券更上證交所網站發布緊急公告,公開了Web下單遭遇DDoS攻擊停擺的消息。

駭客大都挑選早上8點和10點之間,鎖定券商發動洪水式DDoS攻擊。攻擊對象呈現隨機,包括交易金額第二、第二的龍頭券商,但也有排名末段的小型券商。

接連多起券商網站下單系統停擺事件,引起媒體大幅報導。迫使金管會緊急出面,當天晚上就提出對券商的五大防護建議。

駭客勒索最多10個比特幣,不付款將發動Tb級攻擊

券商集體遭DDoS攻擊事件公開後,署名Armada Collective的駭客勒索信曝光,駭客勒索7~10個比特幣(市值約臺幣27~30萬元)。2月3日時的攻擊流量已達約800Mbps,但駭客揚言,這只是試探性的攻擊,來證明確實有癱瘓券商網站的實力,券商若不付款,將在2月7日發動Tb級的攻擊,攻擊流量將是第一波試探攻擊的1千倍。

不只遭勒索券商嚴陣以待,其他金融業者也都繃緊神經,金管會更出面協調NCC、臺灣三家ISP業者(中華電信、臺灣固網、遠傳)和行政院資安處,嚴密監控各證券商網路流量狀況,並且提供適時的維護,如果發生異常狀況就會直接通報證交所。

第一波試探攻擊,連排名第一、二的龍頭券商都傳災情

依攻擊先後順序,駭客第一波試探攻擊(2月3日前)的受害對象,包括了凱基證券、元大證券、亞東證券、大展證券、富隆證券、永興證券、元富證券、高橋證券共8家。

從奇虎DDoS監測網站(ddosmon.net),比對臺灣79家證券商網站30天內DDoS攻擊災情,可以發現,從1月24日股市封關之後到2月3日為止,有8家證券商遭受攻擊。最早遭到攻擊的是凱基證券,發生在1月27日早上7點59分的春節年假期間,2月3日當天最後遭攻擊的高橋證券則是8點19分遇襲。其中,亞東證券曾在2月1日在7點46分和8點14分先後遭遇DDoS攻擊,是第一波試探攻擊中唯一遭到兩次攻擊的證券商。

駭客主要是利用NTP攻擊這些證券商,少部分還會利用其他服務協定發動攻擊,如SNMP、TFTP。

亞東證券、元大證券就遭到駭客一次利用這三種方式,發動洪水式的DDoS攻擊。攻擊時間大多是15分鐘,如高橋證券網站管理人員指出,駭客並非連續攻擊到網路癱瘓,而是打了15分鐘後就會停止一段時間。

不過,不只是發生DDoS攻擊事件的券商成為勒索對象,也有券商收到勒索信,但網站未遭攻擊。大部分證券商在遭到攻擊或是拿到勒索信件後,沒有直接向警方報案,而是向證券公會或臺灣證券交易所提報,再由這兩個單位回報給警方。

不少券商如高橋證券、永興證券、群益金鼎證券等,皆尋求中華電信流量清洗中心來協助阻擋DDoS攻擊。

不過,這次的DDoS攻擊並非只鎖定臺灣證券業者,根據資安專家透露,在2月1日也有香港金融業者傳出類似遭受DDoS攻擊的情況,甚至澳洲有間銀行在2月3日同樣遭到DDoS攻擊。

比對從資安專家取得的勒索信件內容,並和金融業界以及相關人士確認後發現,「攻擊臺灣證券業者和澳洲某銀行的勒索信件內容幾乎一模一樣,除了比特幣錢包的位址不一樣之外。」受駭業者確認說道。

資安專家表示,因為攻擊臺灣和澳洲金融業者勒索信中所提到的比特幣錢包網址仍有差異,依照這種國際網路犯罪組織的分工情況來看,幕後主使者可能是同樣一個組織,但是針對不同地區的攻擊行為,則分別指派給不同的工作小組,不同錢包網址就是認證不同工作小組的「績效」。這種國際網路犯罪分工是非常精細的手法,層層分工、彼此都不相識,如同去年在臺灣爆發的一銀ATM盜領事件一樣。

Armada Collective這個駭客組織從2015年9月底~10月開始活躍,一般資安研究者都相信,Armada Collective是DD4BC這個從2014年中開始活躍,一旦業者不支付贖金,將會以500Gbps~1Tbps的DDoS攻擊勒索贖金駭客組織的模仿犯。

不過,Armada Collective的重要成員已經在2016年1月遭到歐洲刑警組織逮捕,在那之後也傳出許多冒名Armada Collective的模仿犯,寄勒索信的駭客集團都自稱Armada Collective。最知名的冒名案例就發生在2016年4月,不過這批4月模仿犯最終並沒有發動攻擊,但光靠恐嚇和威脅手法,便已獲利超過10萬美元。

為何駭客只勒索10個比特幣?

長期發動DDoS的費用並不便宜,為何在臺灣這波攻擊中,駭客勒索金額才10個比特幣?資安專家透露,多數模仿犯會使用購買DDoS攻擊的服務,稱為Booter Service,這類服務業者甚至有推出15分鐘的試用服務,一位資安專家笑說:「這也可能為什麼這些駭客組織展現DDoS武力的方式,大多是15分鐘DDoS攻擊的原因。」

以資安專家提供的不同購買DDoS攻擊服務的價目表來看,大概可以簡化成,針對一個IP位址發動1分鐘DDoS攻擊,只需要1美元的攻擊成本,對這些模仿犯而言,大多購買月租型DDoS攻擊服務來節省成本,這也是為何這類威嚇式DDoS攻擊時間,多不超過60分鐘。資安專家坦言,支付10~20美元就可以獲得10個~20個比特幣的贖金,是一種非常有「利潤」的攻擊手法,所以,才出現了許多模仿者。

儘管,刑事警察局初步判斷,攻擊臺灣券商的也是冒名Armada Collective集團的模仿犯,但各界都不敢掉以輕心。因為,不同於去年四月的模仿犯,在第一波臺灣券商勒索中,就出現了8個實際遭DDoS攻擊的受害券商,反映出駭客不是說說而已。再加上券商皆不妥協付款,資安專家研判,2月7日預告攻擊日如勒索信所言,出現爆量DDoS攻擊的機會非常高。

攻擊預告日只出現了Gb級DDoS攻擊

果不其然,還沒到預告日,2月6日早上就開始出現第二波災情,大眾證券、群益金鼎證券相繼遭到攻擊,而且群益金鼎證券在隔天,也就是2月7日攻擊預告日還再次受到攻擊。另外還多了3間券商也受害,而且是新出現的受災。累計至2月7日為止,共有13家券商的下單網站,真的遭遇到了駭客的DDoS攻擊,所幸,大多在半小時內就恢復正常運作。

根據中華電信防禦紀錄,攻擊預告日的災情不如駭客宣稱的規模,最大攻擊流量2~3Gbps,攻擊持續時間約20~60分鐘,集中在上午9點到11點間,以NTP反射放大攻擊、UDP洪水攻擊、ICMP洪水攻擊為主,攻擊IP多來自海外。不過,也有券商2月7日當天才收到勒索信就遭到攻擊,信中還揚言,2月13日還會繼續發動下一波攻擊。

駭客彷彿是收保護費的地痞流氓一樣,周周來威脅,勒索對象也沒有明顯規則,更像是隨機勒索。

新型態勒索攻擊模式的出現

過去,傳統勒索攻擊儘管也採DDoS攻擊為主,但過去多鎖定單一或特定對象,以博奕業者、遊戲業者、雲端業者、知名網站、知名媒體、知名銀行為主,而且攻擊目的主要是癱瘓伺服器或服務,就算勒索金錢,勒索金額也動輒上百萬元。去年9月這類傳統式DDoS攻擊的威力,更因IoT殭屍大軍的出現,一舉提高到了Tb級。

但從臺灣這波券商集體遭DDoS攻擊事件中,可以看到未來新型態DDoS攻擊的模式,因為駭客採用了大量自動化攻擊和勒索工具,甚至租用DDoS攻擊服務的價格很低,更容易發動集體式的攻擊勒索,專門鎖定一整個產業而非個體,展開盲目式隨機攻擊,主要目的就是勒索金錢。所幸,這類盲目攻擊的手法和流量,遠不如針對式DDoS攻擊的威力。

對企業而言,安全防禦不只是要做得比隔壁鄰居更好就夠了,而是得面臨駭客的隨機式自動化攻擊,時時提高警覺,將資安納入企業戰略,建立全面動員的新資安思維才能對抗。

 DDoS災情時間表 

1月25日

春節股市休市

1月27日

第一起券商DDoS攻擊勒索災情(凱基證)

2月1日

龍頭券商(元大證)和小券商(亞東證)出現災情,香港也傳金融DDoS攻擊勒索

2月2日

開春交易首日,大展證和富隆證都在開盤後遭到攻擊。刑事局介入調查

2月3日

災情擴大,新增3間受駭券商(元富證、高橋證、永興證),攻擊流量達800Mbps。金管會出面提對策

澳洲某銀行遭DDoS攻擊勒索,勒索信和臺灣版幾乎相同

2月6日

群益金鼎證、大眾證遭攻擊

2月7日

預告攻擊日。群益金鼎證再傳災情,另有德信證、台新證、北城證也遭攻擊,累計13家

2月13日

第二次預告攻擊日

 相關報導 

多家券商證實遭DDoS攻擊,駭客揚言不付錢要再開打

第一波10家券商DDoS攻擊勒索名單曝光,2月7日迎戰超大流量Tb級攻擊

對抗DDoS攻擊勒索,多家券商要靠中華電信協防

2月7日證券商DDoS攻擊流量公布!金管會:最高2Gbps

臺灣首次券商集體遭DDoS攻擊勒索名單出爐:累計13家!

熱門新聞

Advertisement