我目前的理解
受害的銀行,是俄羅斯的PIR Bank。有嫌疑的駭客集團是MoneyTaker。事件發生過後,PIR Bank 請Group-IB公司進行入侵事件後的修復和調查。目前Group-IB已公開的資訊指出,駭客是透過停止支援的路由器的漏洞進入。駭客的步驟細節尚未公開。
PIR Bank的路由器的型號是 Cisco 800系列路由器。這款路由器的軟硬體,已經在2016年停止支援。作業系統版本是Cisco IOS 12.4.
我的解讀
這些路由器,我判斷,應該是連接在Internet上面的VPN路由器。如果是封閉在內部網路的路由器,駭客必須穿過好多道防火牆才到的了路由器。假設駭客都能穿過防火牆了,當然也不需要透過路由器的缺陷。
VPN加密的保護協定,應該就是IPSec,在這個事件中,本身並沒有被發現缺陷。有缺陷的是路由器軟硬體。駭客應該是透過了Cisco IOS的缺陷,例如針對某個缺陷,作「零時差攻擊」(Zero-day Exploit),控制了路由器之後,將路由器當成攻擊跳板,或是開後門讓駭客從 Internet 進入到內部網路中。
這個事件的責任,主要也不在於Cisco,因為Cisco已經公告停止支援了。客戶如果硬要使用停止支援的路由器,客戶需要承擔大部分的風險。
好可惜!所損失的一百萬美金,足夠買好多好多全新的路由器了。
我給企業的建議
- 立刻盤點現有的路由器,尤其是連結到、暴露在Internet上面的。
- 立刻跟硬體供應商確認,哪些路由器已經停止支援的,或者是即將停止支援的,應該立刻、儘快更換。
- 仍然有支援的路由器,需要逐一確認,上面的作業系統已經是最新修補過的版本。
 |
| 銀杏大道(イチョウ並木),日本北海道大學 |
One More Thing…
我建議大家不需要對於Internet VPN架構,或是IPSec協定,有任何恐慌。事實上,好多的網路新架構,例如軟體定義廣域網(Software-defined Wide Area Network, SD WAN),也都是基於Internet VPN和IPSec這樣的技術。
只要能夠確保這些路由器隨時維持在最健康的狀態,軟體需要更新就隨時更新,硬體需要更換就隨時更換,Internet VPN架構還是一個同時能夠降低成本,和提升部署彈性的,企業內部智慧型廣域網路的方案。
0 意見:
張貼留言
小技巧:也可以 匿名 留言!