美國發出資安警訊，警示北韓政府針對多國金融機關從事駭侵活動!

【影響範圍】

IBM AIX (Advanced Interactive eXecutive) 伺服器

• SWIFT 國際電匯系統
• 自動櫃員機（ATM）
• 及客戶 的銷售系統（POS
• Point Of Sale）

【細節描述】

美國財政部、聯邦調查局、國土安全部、網戰司令部發出聯合警訊，自 2020年 2 月起，朝鮮民主主義人民共和國（以下簡稱北韓）再次針對多國金融機構進行 ATM 駭侵活動，藉由惡意軟體來從事轉帳及現金提款，竊取銀行資金。該組織的駭侵活動於 2019 下半年暫時趨緩後，又於今年 2 月重新啟動，請相關聯盟成員尤其是金融產業之相關成員特別注意。
BeagleBoyz 是朝鮮人民軍總參謀部偵察總局旗下駭客組織，自 2015 年起，BeagleBoyz 針對多國銀行的 SWIFT 國際電匯系統、自動櫃員機（ATM）及客戶的銷售系統（POS, Point Of Sale）系統從事駭客活動，進而竊取資金及加密貨幣。近五年間，該團夥已嘗試盜取近 20 億美元。
該組織利用部分銀行在資安防護上的不完善，透過釣魚、水坑攻擊和社交工程等技巧，誘使受害機構的人員開啟惡意網站或啟動惡意程式，藉此入侵內部系統、取得權限並從事駭侵活動。2016 年起，該組織更開始攻擊多國金融機構內部的 IBM AIX (Advanced Interactive eXecutive) 伺服器，駭入銀行的支付交易應用程式來發送偽造的交易訊息，藉此於包含美國在內的 30 多個國家之 ATM 上盜領款項，竊取了數千萬美元的不法資金。除此之外，近期也開始偵測到該組織針對銀行間交易系統的活動，顯示其駭侵活動已開始向銀行系統的上層蔓延。
韓政府駭客組織 BeagleBoyz 的駭侵活動可能已涉及全球近 40 個國家，其中包含台灣、日本、南韓、新加坡、西班牙等先進已開發國家。聯合警訊中也提到，BeagleBoyz 可能與 Lazarus 和 APT38駭客組織在組織和活動範圍上互相重疊。根據美國網路安全公司 FireEye 的報告，Lazarus 和 APT38 為 2017 年竊取遠東商銀18 億新台幣的主謀，而三者皆為北韓政府所控制的駭客組織。

【建議措施】

◎對於銀行、金融機構的建議措施：
1. 遵照 FFIEC、ISO 等國際標準部屬交易資訊系統及資訊安全防護系統。
2. 確保所有交易流程遵照 PCI Security 及 SWIFT 等組織的規範。
3. 使用防火牆、存取控制列表，並將機密資訊的資訊系統與其他網際網路服務之系統確實隔離。
4. 使用認證機制來保護所有內、外部的交易活動。
5. 確保內部控制機制，監視並記錄異常交易活動來偵測可疑的駭侵活動。
6. 使用多因子或兩步驟驗證來保護交易應用程式的存取。
◎ 對於使用零售支付系統的企業單位或相關使用者的建議措施：
1. 確保所有交易皆為加密傳輸，並確實受到信用卡發行機構或交易服務
提供者的有效回覆。
2. 確保作業系統、防毒軟體、應用程式更新到最新狀態。
3. 禁用檔案分享及印表機分享服務。
4. 使用強密碼並定期更改。
5. 勿開啟來路不明的電子郵件附件，並執行電子郵件掃描。
6. 封鎖含有惡意內容的網站。
7. 謹慎使用卸除式裝置。
8. 掃描自網路網路下載之軟體或檔案。
9. 使用存取控制清單。