攝影/羅正漢
臺灣這兩個月接連發生遭CrazyHunter勒索軟體攻擊的事件,從2月馬偕醫院、3月彰基醫院受害以來,接續又有國內多家上市櫃公司遇害,由於這些攻擊專門鎖定臺灣攻擊,特別是醫院,情況相當嚴峻,也令民眾憂心。今日(4月2日)刑事警察局宣布取得重大突破,首次揭露了勒索軟體攻擊的幕後真兇。
刑事警察局科技犯罪防制中心主任林建隆在記者會上表示,自2月6日馬偕紀念醫院遭攻擊並報案後,他們聯合刑警大隊科技偵查隊成立專案小組偵辦,如今調查出犯嫌是一名20歲的中國浙江籍羅姓駭客。
關於目前司法程序的進度是,專案小組已在3月31日將調查結果移送臺灣地方檢察署偵辦,隔日(昨日),地檢署已發布通緝。
他並強調,以往很多網路攻擊案件,雖然查出攻擊來源是中國,但不知道真兇是誰,這是他們第一次能夠關聯出攻擊者真實身分。
對於如何追蹤到駭客真實身分,林建隆雖然沒有透露太多細節,但也簡單說明。這一個多月來,他們綜整並分析多起案件的資訊,從駭客入侵來源IP位址、使用工具、攻擊手法與惡意程式等,進而掌握到攻擊者身分,並查出金流等電磁紀錄,也發現駭客運用VPN/VPS等方式來隱匿身分。
林建隆強調,地檢署現已發布通緝,這顯示偵查結果已掌握明確的犯罪事證。而另一大關鍵,就是追查出犯嫌真實年籍資料,才能順利發布通緝。
由於攻擊者目前位於境外,後續警方將依據《海峽兩岸共同打擊犯罪及司法互助協議》,尋求中國的協助追查。只是,能否真的跨國逮捕歸案需要運氣,但不可否認的是,相比過去勒索軟體犯罪的偵辦,總是由歐美國家主導,臺灣警方能以專業技術更清楚辨識出幕後攻擊的真實身分,可堪稱是全球勒索軟體防護上的一大突破。
攻擊者仍可能持續犯案,企業需重視已知漏洞防護與情資聯防
值得我國企業組織關注的是,刑事局表示,這次CrazyHunter的攻擊是以相當外顯的方式進行,主要以賺錢為目的,不同於國家資助駭客組織發動的攻擊通常是網路間諜行動,暗中竊取機敏資訊,不讓受害企業政府知曉。
因此,雖然這次能夠揪出幕後真實身分,但刑事局強調,該嫌能夠成功入侵多家企業組織,顯示其攻擊手法仍有一定的破壞力,而且仍逍遙法外,因此國內民間企業、醫院或政府機關都不可鬆懈。
林建隆提醒,在這次偵辦中,專案小組發現攻擊者多半利用已知系統漏洞來入侵,而且每起事件利用不同已知漏洞。
因此,資安弱點的管理相當重要,還有其他防護工作同樣要重視,包括:EDR的部署、高權限帳號的保護,以及備份要能妥善。
此外,不僅刑事局在偵辦此網路攻擊案件,事實上資安署、衛福部也持續在強調資安聯防重要性。例如,TWCERT/CC先前制定「勒索軟體防護的事前、事中與事後指南」,近期衛福部也發布「醫院面對勒索軟體攻擊的應變指南」。
林建隆認為,過去可能大家沒有關注這些訊息,因此他們也希望藉著這次調查結果公開,喚起大家對於這方面的重視,包括事前的預防該怎麼做,以及事件發生時,事中的應變、事後的恢復,對於企業組織而言,將可用以檢視哪些已經做到、哪些還沒有做。
%E5%88%91%E4%BA%8B%E5%B1%80%E9%A6%96%E6%AC%A1%E5%81%B5%E7%A0%B4%E5%8B%92%E7%B4%A2%E8%BB%9F%E9%AB%94%E6%94%BB%E6%93%8A%E4%B8%BB%E5%AB%8C_CrazyHunter_%E5%9C%96%E7%89%87%E4%BE%86%E6%BA%90%E5%88%91%E4%BA%8B%E5%B1%80.jpg)
刑事局表示,駭客於暗網設立以CrazyHunter Team為名的資料外洩恐嚇網站,其宣稱受害者都是臺灣的組織與企業,目的是顯現他們的戰績,同時也意圖造成民眾心理恐慌。據駭客聲稱內容顯示,國內已有兩家受害企業支付贖金,公開的勒索金額則在80萬至250萬美元。
關於受害者方面,目前外界傳出已有11家國內企業組織受害,林建隆表示,刑事局在31日移送地檢署偵辦時,已掌握國內有7家受害,CrazyHunter攻擊目標涵蓋學校、醫院、上市公司。我們先前在馬偕醫院事故追蹤報導已經揭露,包括:亞洲大學、亞洲大學醫院、馬偕紀念醫院、華城電機、彰化基督教醫院、科定企業、喬山健康科技。
至於這幾天我們已經報導再有3家企業遭駭的消息,警方表示還在蒐集資料與研判中,因此他們現在還不能確認指出是同一攻擊者所為。
刑事局首次偵破勒索軟體攻擊主嫌_CrazyHunter_攝影羅正漢.jpg)
刑事警察局科技犯罪防制中心主任林建隆表示,此案犯嫌已經違反刑法妨害電腦使用罪、恐嚇取財罪及個人資料保護法,且駭侵攻擊對象為醫院、學校及上市公司,持續危害我國資安與治安。(攝影/羅正漢)
