【遠銀遭駭追追追】從孟加拉央行SWIFT遭駭，剖析駭客攻擊手法

繼去年第一銀行ATM遭駭事件之後，10月6日遠東銀行傳出駭客利用SWIFT交易匯款盜走6,000萬美元的事件，再次震驚臺灣社會及金融圈。

其實，駭客入侵金融機構間用於溝通與交易的SWIFT國際匯款系統，這種攻擊手法並非是首次出現，國際上已有數間銀行受害，像是2016年2月孟加拉央行遭駭轉走8,100萬美元的事件，就是一例，當時就讓全球關注金融科技安全的人都開始警惕。

這次遠東銀行遭駭事件，就發生在臺灣，更是引起國人對於此攻擊行為的關注。雖然現階段調查仍在持續進行中，但我們或許可以先從國際上發生過的類似案件，一窺國際犯罪集團針對SWIFT交易系統攻擊的方式。

駭客入侵孟加拉央行SWIFT國際匯款系統，造成8,100萬美元損失

近年，全球已有多家銀行SWIFT系統，遭駭客植入惡意程式，發出偽造的付款指示並竊取匯款。其中以孟加拉央行遭駭事件，最受注目，駭客利用其SWIFT權限，嘗試從該行在美國聯準會紐約分行轉走9.51億美元，雖然最後僅成功盜轉走8,100萬美元（約新臺幣26.6 億元），但龐大的損失金額，更是讓此事件成為全球注目焦點。

在這起事件的初期調查中，根據當地官方的說法，駭客原本打算分成多次來轉帳，但在第五次要轉帳至偽造的斯里蘭卡非營利組織Shalika Foundation時，卻因為帳戶名稱輸入錯誤，把Foundation誤打成Fandation，因而引起注意，並停止之後的轉帳，也讓駭客最後只成功轉出部分金額，到菲律賓的偽造帳戶。

據國際媒體Bloomberg報導，當時的臨時調查報告顯示，孟加拉央行至少32臺電腦被控制，運行SWIFT系統的專用伺服器，位於孟加拉央行會計和預算部的內部系統中，透過一臺電腦專門來與SWIFT系統連線，並有3個終端機可供登入使用。

而且，在稽核紀錄的分析結果中還發現，駭客第一次登入可能是在1月24日，並在1月29日利用管理權限安裝「SysMon in SWIFTLIVE」，接著駭客每天登入，直到2月6日為止。

後續的調查結果也發現，孟加拉央行只用便宜的交換器來連結SWIFT轉帳系統，並沒有防火牆保護，這也促使SWIFT認證機制被駭客盜用進行轉帳，成為遭駭原因之一。

攻擊者對於SWIFT系統運作方式熟悉，受害銀行可能難以察覺

這樁號稱金融資安史上最大的銀行竊案，也引起各界對於整起孟加拉央行遭駭事件的重視，不少資安業者持續揭露相關調查報告。

像是在2016年4月時，資安業者BAE Systems研究員針對孟加拉央行攻擊事件，公布相關調查結果，並分析出駭客控制SWIFT系統後的8大關鍵手法。

這當中，包括控制SWIFT系統並安裝惡意程式、讀取必要資訊、修改SWIFT軟體的連線，監控SWIFT確認訊息、攔截SWIFT印出訊息、資料庫記錄刪除、取得帳務平衡，以及發送登入紀錄。

若從攻擊流程的角度來看，駭客似乎對於整個系統的運作方式，已有一定的熟悉。像是他們會監控送到印表機的SWIFT訊息，並且在必要時攔截不印出，同時也會掃描其中的RPC/FAL檔案，並刪除有關的資料庫記錄，藉此隱藏曾經入侵的訊息，避免被發現。

資安業者長期觀察並揭露，駭客團體鎖定金融系統攻擊的4大流程

當時，環球金融電信協會（SWIFT）也發出了警告，懷疑這起孟加拉央行遭盜轉並非個案，是駭客鎖定多家銀行的廣泛攻擊行動，而實際情況也是如此，隨著許多資安研究員發掘出更多訊息，多家資安業者均將矛頭指向惡名昭彰的Lazarus犯罪集團。

時間來到今年4月，距離孟加拉央行SWIFT系統遭駭已有一年多時間，卡巴斯基實驗室（Kaspersky Lab）特別公布了一份對於Lazarus駭客組織，在這段期間的追蹤報告。

報告中指出，該組織在東南亞、歐洲銀行都留下不少攻擊痕跡，基於對這些銀行攻擊的取證分析結果，卡巴斯基實驗室研究人員掌握該組織使用的惡意程式樣本，同時也還原了該組織的網路犯罪手法。

他們將駭客入侵金融機關SWIFT系統的流程，分成4大階段。在初期入侵階段，駭客會想辦法入侵到銀行內部，第二階段將入侵其他銀行主機並植入後門程式，以取得立足點，第三階段則是經過一段時間的內部潛伏偵察，以瞭解銀行內網路與SWIFT系統運作，最後再利用SWIFT轉走款項，並規避內部安全檢測機制。

綜合來看，面對這樣的攻擊行徑，已經成為全球金融體系，都要面對的資安議題。在上述追蹤調查報告中，也顯示出Lazarus駭客組織，他們在策略、技術與步驟方面，都有一定的規畫與手段，並可將此攻擊模式，複製到不同銀行並展開攻擊，而且，整個入侵與潛伏流程可能經過數個月的時間。

快速回顧孟加拉央行SWIFT遭駭攻擊手法

銀行業SWIFT系統攻擊追追追：
Lazarus犯罪集團的4大攻擊流程