5月13日韓國警察廳國家搜查本部發出聲明,他們與國家情報院、檢察廳針對韓國法院遭駭一事進行聯合調查,發現北韓駭客曾入侵該國法院長達2年,近1 TB資料遭竊。而這起事故,是首度有韓國司法單位遭到北韓駭客攻擊的情況。

根據調查的結果,對方從2021年1月7日至2023年2月9日存取韓國法院系統,但不排除駭客在這段時間之前就已嘗試存取相關系統。在上述期間共有1,014 GB資料外流,但僅有5,171個檔案(4.7 GB)復原,這些資料包含自述書、破產報告、結婚證書、醫療證明文件,由於這類文件都含有個資甚至是詳細的金融資料,他們已通知受影響的民眾。

從韓國警察廳國家搜查本部公布的資料關係圖來看,韓國法院於2021年11月9日之前,將資料存放於該國境內的4臺伺服器,檔案有672.3 GB,之後從2022年4月19日至2023年1月17日,他們將342.2 GB資料存放於4臺位於海外的伺服器。但僅有國內的B伺服器部分資料被找回,而能確認受害者的身分。

但為何僅有少數資料被復原?因為多數資料因超過儲存期限而遭到刪除。他們研判攻擊者至少從2021年1月7日就入侵韓國法院,但其餘在調查時,因記錄過期遭到清除,因此無法確認對方是否更早就已滲透韓國法院的相關系統,也無從得知事故發生的原因。

警方指出攻擊者於韓國法院從事活動期間為2021年1月7日至2023年2月9日,但他們也提及執行竊取資料的時間,是2021年6月29日至2023年1月17日。換言之,在韓國法院察覺遭到入侵之前,對方已暫停搜括機密資料超過20天。至於這段期間攻擊者是否在進行後續證據的清理,警方並未進一步說明。

而對於發現這起事故的原因,是防毒軟體偵測到攻擊者使用的惡意程式才被察覺。警方針對韓國法院國內4臺伺服器、國外4臺伺服器的傳出檔案進行回溯,從而確認部分外洩資料。

雖然這份公告並未指出攻擊者的身分,但根據當地媒體報導,警方透露這批北韓駭客就是Lazarus。

不過,這起事故引發爭議之處有兩點,其中一個便是防毒軟體在駭客入侵2年後才偵測到惡意程式碼,突顯韓國法院的資安防護不足;另一個部分則是因大部分資料(約95%)沒有留存相關備份,無從得知對方偷得的資料影響範圍。

針對資安防護的部分,韓國警察廳國家搜查本部表示,一般而言,駭客會先確認惡意程式碼不會被防毒軟體攔截,才將其用於攻擊行動,因此他們難以確定是防毒軟體存在缺陷而成為破口。但這樣的說法,也突顯韓國法院的資安防護可能嚴重不足。

再者,就是相關證據保存不足的情況。韓國警察廳國家搜查本部的官員透露,他們從其中一臺位於韓國境內的伺服器上,成功復原留存的事件記錄,但其餘在調查時記錄已過期遭到清除,而無法掌握洩漏的內容。

另一方面,韓國法院去年2月9日察覺網路環境被植入惡意程式並自行著手調查,直到媒體曝光後警方才在12月5日介入,事隔10個月也可能影響能夠掌握的相關證據,因為,這些資料很有可能這段期間遭到刪除。

熱門新聞

Advertisement