臺灣在2月3日傳出有多家券商的網路下單平臺遭到駭客發動DDoS(分散式阻斷式服務)攻擊,甚至有小規模券商遭到DDoS攻擊後,因為無法立即恢復網路下單系統運作而必須暫停網路下單服務。
不過,這次的DDoS攻擊並不只有針對臺灣證券業者,根據資安專家透露,澳洲也有某間銀行在2月3日也同樣遭到DDoS攻擊,在2月1日也有香港金融業者傳出類似遭受DDoS攻擊的情況。
若比對從資安專家取得的勒索信件內容,並和金融業界以及相關人士確認後發現,「攻擊臺灣證券業者和澳洲某銀行的勒索信件內容幾乎一模一樣,除了比特幣錢包的位址不一樣之外。」受駭業者確認說道。
資安專家表示,因為攻擊臺灣和澳洲金融業者勒索信中所提到的比特幣錢包網址仍有差異,依照這種國際網路犯罪組織的分工情況來看,幕後主使者可能是同樣一個組織,但是針對不同地區的攻擊行為,則分為指派給不同的工作小組,不同錢包網址就是認證不同工作小組的「績效」。
資安專家指出,這樣的國際網路犯罪分工是非常精細的手法,層層分工、彼此都不相識,如同去年在臺灣爆發的一銀ATM盜領事件一樣,臺灣警察抓到的安德魯等3人,連車手都不是,根本是最下游處理金錢的棋子罷了。
傳言模仿犯來自香港,若依手法分析仍為國際網路犯罪一環
寄勒索信的駭客集團都自稱「Armada Collective」,這個駭客組織從2015年9月底~10月開始活躍,一般資安研究者都相信,Armada Collective是DD4BC這個從2014年中開始活躍,一旦業者不支付贖金,將會以500Gbps~1Tbps的DDoS攻擊勒索贖金駭客組織的模仿犯。
而從臺灣有多家券商都遭受到DDoS攻擊此次受駭的狀況分析,加上先前香港也有受駭,以及後來的澳洲某銀行也傳出受駭,有金融業者以及相關人士推論,「這次攻擊臺灣券商的駭客組織,極有可能是來自香港的Armada Collective模仿犯,」畢竟,香港對於中港臺的運作極為熟悉,再加上與澳洲先前同為大英國協,對澳洲商業運作狀況很了解,才能夠掌握合適的發動DDoS攻擊時間。
不過,了解各國DDoS攻擊模式的資安專家則表示,這次受駭的證券業者大多是以塞爆流量的方式,以UDP封包加上反射放大攻擊的方式,以大量封包癱瘓證券商的網路下單系統,與中國香港駭客慣用的CC(Challenge Collapsar,挑戰黑洞)攻擊手法,利用許多免費的代理伺服器,匿名發動DDoS攻擊手法有極大的不同,要認定這次針對臺灣證券業者的DDoS攻擊是中國、香港甚至是中國網軍或解放軍所為,仍有其難度。
不管是針對臺灣、香港甚至是澳洲發動的DDoS攻擊手法都與先前的Armada Collective的手法類似,資安研究人員表示,不管這次的攻擊是否是模仿犯,但要說明這種利用發動DDoS勒索贖金的手法和網路犯罪組織,都會以Armada Collective稱之。