病毒入侵當「老爺機」發作? Verizon 報告揭露「汽水機 DDoS」外的古怪案例

較早前 Unwire.pro 分享自動售買機對大學發動 DDoS 的事件,這其實是 Verizon 《數據失竊摘要》報告之中 16 個案例之一。日前他們分享了更多案例。其中一例顯示,有工程師把工業系統網速緩慢歸咎於「老爺機」,但原來系統已感染了惡意軟件。

較早前 Unwire.pro 分享自動售買機對大學發動 DDoS 的事件,這其實是 Verizon 《數據失竊摘要》報告之中 16 個案例之一。日前他們分享了更多案例。其中一例顯示,有工程師把工業系統網速緩慢歸咎於「老爺機」,但原來系統已感染了惡意軟件。

 

Verizon 早前公布 2017 年《數據失竊摘要》報告,當中記載了 16 宗網絡安全事故。日前 Verizon 亞太區網絡安全總監黃財明,以及亞太區調查及反應管理總裁 Ashish Thapar 分享了其中數個案例。

其中一個已率先在 Unwire.pro 報導。某大學突然收到學生投訴稱網速緩慢,調查後發現原來校園的物聯網裝置,包括自動售賣機和燈泡正向 DNS 伺服器發動 DDoS

 

但「網速慢」並非大學才有的問題,一間零件生產商亦有相同情況。不過廠內的工程師不像學生般投訴,他們認為這是「老爺機」的正常現象,但真正原凶其實是消耗網絡資源的惡意程式。

 

 

Case#1:網絡遲緩因機器舊?

 

報告披露,某零件生產商高層邀請 Verizon RISK 小組為廠內系統進行健康檢查,不過廠內的工程師認為不需要,因為他們認為系統十分健康,其營運技術(Operational Technology)環境十分安全,根本不會有重大發現。但礙於管理層出面,他們只好與 Verizon 合作。

調查時,工程師透露廠內的網絡在數個月前開始「有點遲緩」,他們相信這是設備陳舊所致;此外部分的 OT 系統沒有防毒保護,工程師解釋該些系統是獨立的,毋需保護。然而在其餘 33 個有防毒保護的 OT 系統中,日誌清楚顯示有惡意軟件反覆被偵察、刪除。

 

病毒不斷搜尋新系統消耗網絡資源

工程師指他們有留意到情況,但相信防毒軟件會自行處理,故沒有理會。然而 Verizon 認為這反映背後有問題,深入分析網絡流量後發現,所謂「獨立」、「毋需保護」的 OT 系統有不恰當的設定,能與外界聯繫,並感染了惡意程式。這亦導致部分 OT 系統不斷搜尋新系統,使網絡變得遲緩。

可幸的是該些惡意程式是針對銀行帳戶,沒有對工業系統造成破壞。最後他們合作採取補救措施,包括員工訓練、系統設定最佳化,以及引入事件記錄、監視和警報。

黃財明指出,現時 OT 和 IT 之間已不再完全獨立,只要稍有接觸,不法分子便可乘虛而入。

 

Case#2:明明電郵批匯款 當事人矢口否認?

 

Thapar 分享的另一案例是商業電郵詐騙,在香港發生。

該公司的定期審計發現,有一筆電匯未有國際稅務表格,遂向處理交易的會計員工和 CIO 追查。正常流程下,會計員工要把單據以電郵發給 CIO ,然後 CIO 會在電郵批准或者拒絕匯款;如果批准的話,會計員工會把 CIO 的回覆和單據轉寄至電匯部門作實。不過這次,即使審計部門展視相關的批准郵件,他們都對這筆匯款沒有印象,甚至否認電郵是他們發出。所以問題來了,到底這些電郵是從哪兒來?

Verizon 調查後發現,會計員工的電郵帳戶的確發出過電匯請求,但收件者並非 CIO 。因為收件人的姓名雖然相同,但電郵地址的域名是錯誤,只與正確的域名有一字之差,就如 o 和 0 或者 I 或 l 的分別。

 

員工回家中釣魚郵件 企業攔截惡意域名亦徙然

但不法分子如何知道 CIO 的名字?原來該個員工在家中收到對方的釣魚電郵,聲稱遲交單據,要求他輸入電郵域名帳戶來認證身分和檢視單據。這樣對方便可獲得帳戶來登入郵箱,模彷他們的匯款流程,繼而製作假單據來詐騙。

值得注意的是,公司已設惡意域名過濾系統,而系統的確能識別該釣魚網址。可惜系統只可針對公司內部,所以當員工利用自己的電腦在家工作便無法發揮作用。

Thapar 建議企業的電郵系統應使用兩步認證來登入,電郵的標題應加入「External(外部)」的標記以作識別。除此之外,員工應避免在家工作;如果必要的話就要使用 VPN 來連接公司網絡。

 

總結:人為因素成安全事故主因

Verizon 總結稱,「人為因素」依然是眾多安全事故的主因,而隨著數據失竊的情況變得更複雜,公司各個部門都可受影響,包括董事會。因此企業必須在數據失竊發生前做好準備,事後才可迅速回復正常運作。否則,事故可以對整個企業帶來嚴重且久遠的破壞,例如失去顧客信任或股價下挫等。

如果 Unwire.pro 的讀者對其他個案有興趣,可下載 Verizon 2017 年《數據失竊摘要》細閱。