《禍駭》:幫這起資安危機取名「威尼斯」,不知情的人還以為駭客來自義大利

《禍駭》:幫這起資安危機取名「威尼斯」,不知情的人還以為駭客來自義大利
Photo Credit: Reuters / 達志影像

我們想讓你知道的是

現在銀行正在試著決定要採取怎樣的行動方案。若是讓犯罪分子知道銀行已經發現了,可能導致這批人貿然採取破壞行動,有可能破壞銀行的伺服器,毀掉他們的蹤跡。攻擊者只有在知道自己事跡敗露時,才會這樣做。

文:凱特・法茲尼(Kate Fazzini)

義大利人

二○一四年七月下旬,紐約陽光明媚,氣候涼爽。現在銀行的資安出了大紕漏。資安監控中心的門不斷被敲。員工一個接一個走進空蕩蕩的會議室,在那裡低語,關上門之前,大家都左右張望著。分析師報告之前發生事件的始末和種種運作的細節,或至少是他們認為這是怎麼發生的,聽眾都一個個睜大了眼睛。

卡洛琳試圖控制這混亂的場面,但首先她得找到鮑伯.雷科夫。鮑伯失蹤了,需要他立即過來開會。她傳話到二樓,那裡也有幾間會議室。他應該要出席首席投資官小組的這場會議,但他一直沒來露面。

雷科夫在二樓行蹤成謎之際,一名新成員則要進入資安監控中心。卡洛琳正在幫助他做就職的準備。普雷姆.拉梅什(Prem Ramesh)現在將成為雷科夫的左右手,擔任他新設立的參謀長職位。但他不是雷科夫想要僱用的人。

事實上,普雷姆曾來爭取雷科夫現在這個資安主管的職位。拉梅什身材矮小,三十幾歲,像隻格雷伊獵犬一樣圓滑,完全與他之前的競爭對手,也就是現在的新老闆完全不同。他將是繼雷科夫之後的第二號負責人,同時也是銀行資安團隊的負責人。

普雷姆為全國最大的一家國防工業承包商建立了諮詢業務,發明了一種稱為狙殺鍊(kill chain)的IT安全框架解析。這套框架不僅為雷科夫及其同儕所採用,許多資安專業人員也拿來當作是描述罪犯如何進行網絡犯罪的簡單方法。這是一個便捷的「全餐式」敘事包,一應俱全地解釋網路攻擊的方式,從早期偵察到之後的直接行動。

其背後的原理很簡單:盡早阻斷這過程,就能防止攻擊、減少損害在犯罪分子還沒進行到指揮和控制的步驟前,花錢請人找出正在進行偵察的罪犯。但是就普雷姆的目的來看,這次的教訓會更具挑戰性,因為對現在銀行發動的攻擊已經進入到指揮和控制的階段。


普雷姆和一個溝通團隊正在製作PowerPoint演講稿,將那些圖表畫了又畫,想辦法以狙殺鏈來解釋到目前為止他們對這場入侵行動的了解。

首先,罪犯似乎對銀行進行過詳盡的研究調查,並針對整個組織的許多不同層面上做了偵查工作。他們在領英(LinkedIn)上查詢銀行員工的詳細個資,還探索了外圍區域(位於防火牆之外的數位銀行),尋求破綻。他們還研究了可能與該公司有關的其他網站。現在銀行使用的系統是所謂的扁平網路(flat network),這意味著只要能夠讀取這網路的某個部分,基本上就能進入所有部門的網路,進入眾多組織,直抵資產管理、投資銀行和其他部位。

犯罪分子將這些寶貴的資訊善加利用,轉變成武器。他們會從所收集到的所有資料來尋找進入銀行網路的方式。他們會針對現在銀行,或是任何可能鎖定的目標,量身打造攻擊計畫。

舉一個例來說,他們的調查找到兩名初階員工,是在羅德島大學課程中的契約工,他們透過社交工程(social engineering)的種種話術讓他們吐露一切。所謂的社交工程學是指各種說服人,使其吐露敏感資訊的方式,有些是透過精心設計的電子郵件,有些是講得合情合理、頭頭是道的電話。

有時,犯罪分子會冒充一個倒楣的技術人員,試圖為他所鎖定的行騙對象解決一些問題。這之所以稱為社交工程,是因為這項技術利用的是人天生想要信任他人的傾向;基本上是利用你的禮貌和幫助他人的意願來對付你本人。

他們的偵查還發現另一個進入網域的管道,是透過現在銀行贊助的半程馬拉松賽事的年度活動網站。這個網站是由第三方(一家外面的公關機構)設置的,他們根據銀行內獨立的社區服務部門的要求來設計網頁。這類計畫網站很容易出現縫隙。

由於在設置這類比賽網站時不會考量資安問題,而且為了方便參與者註冊,還會允許他們連接到銀行的網絡,因此任何進入這個沒什麼防禦力的賽事網站的人,都可能由此進入銀行的龐大網絡。卡洛琳和她的團隊以及她之前的許多資安行政主管,多年來一直在提倡網段切割,這可以在銀行各部門的網域間建立開合式的吊橋,但是卻因為沒有足夠的資金而作罷。

因此,對頭腦精明的犯罪分子來說,將轉化成武器的一堆惡意軟體傳送給毫無戒心的員工,或是經由不受保護的網站進行滲入,都不算是什麼困難的挑戰。在狙殺鏈的「弱點攻擊和安裝」階段,罪犯就是透過這類管道來執行惡意程式組合包,並且安裝能夠讓他們讀取所需資訊的程式,而就現在銀行的例子來說,就是客戶的姓名、社會安全號碼以及其他銀行資訊,特別是那些容易上鉤的客戶。

如今,透過這種管道,整間銀行都被安裝了惡意程式,因此犯罪分子可以指揮和控制各種惡意軟體的安裝,將所有敏感資訊轉發到他們的海外伺服器。


現在銀行正在試著決定要採取怎樣的行動方案。若是讓犯罪分子知道銀行已經發現了,可能導致這批人貿然採取破壞行動,有可能破壞銀行的伺服器,毀掉他們的蹤跡。攻擊者只有在知道自己事跡敗露時,才會這樣做。因此,資安監控中心團隊必須要快速而安靜地作業。在經過三天對狙殺鏈的解析後,資安團隊選擇在進一步散播開來之前銷毀它。

為了盡可能低調討論目前資料外洩的意外,資安調查人員給這事件起了個名字:威尼斯。完全沒有任何暗示,這個名字僅是方便大家輕鬆討論這起資料外洩事件,這樣做包括犯罪分子在內的任何人都不會在他們的對話中聽到「外洩」或「入侵」之類的用語。如此一來,調查人員就可以避免那些已經埋伏在網路中的犯罪分子察覺到任何風聲。


Tags: