摄影/罗正汉
台湾这两个月接连发生遭CrazyHunter勒索软体攻击的事件,刑事警察局科技犯罪防制中心主任林建隆在记者会上表示,自2月6日马偕纪念医院遭攻击并报案后,他们联合刑警大队科技侦查队成立专案小组侦办,如今调查出犯嫌是一名20岁的中国浙江籍罗姓骇客。
具体而言,专案小组已在3月31日将调查结果移送台湾地方检察署侦办,隔日,地检署已发布通缉。
他并强调,以往很多网路攻击案件,虽然查出攻击来源是中国,但不知道真凶是谁,这是他们第一次能够关联出攻击者真实身分。
对于如何追踪到骇客真实身分,林建隆虽然没有透露太多细节,但也简单说明。这一个多月来,他们综整并分析多起案件的资讯,从骇客入侵来源IP位址、使用工具、攻击手法与恶意程式等,进而掌握到攻击者身分,并查出金流等电磁纪录,也发现骇客运用VPN/VPS等方式来隐匿身分。
林建隆强调,地检署现已发布通缉,显示侦查结果已掌握明确的犯罪事证。此外,这次能够发布通缉的另一大关键,就是成功追查出嫌犯的真实年籍资料。
由于攻击者位于境外,后续警方将依据《海峡两岸共同打击犯罪及司法互助协议》,寻求中国的协助追查。只是,能否真的跨国逮捕归案需要运气,但不可否认的是,相比过去勒索软体犯罪的侦办,总是由欧美国家主导,台湾警方能以专业技术更清楚辨识出幕后攻击的真实身分,可堪称是全球勒索软体防护上的一大突破。
攻击者仍可能持续犯案,企业需重视已知漏洞防护与情资联防
林建隆强调,此案犯嫌已经违反刑法妨害电脑使用罪、恐吓取财罪及个人资料保护法,且骇侵攻击对象为医院、学校及上市公司,持续危害我国资安与治安。
他提醒,国内民间企业、医院或政府机关仍不可松懈。例如,在这次侦办中,专案小组发现攻击者多半利用已知系统漏洞来入侵,而且每起事件利用不同已知漏洞。
因此,资安弱点的管理相当重要,还有其他防护工作同样要重视,包括:EDR的部署、高权限帐号的保护,以及备份要能妥善。
此外,不仅刑事局在侦办此案件,事实上资安署、卫福部也都持续强调联防重要性。例如,林建隆认为,过去可能大家没有关注这些讯息,因此他们也希望藉著这次调查结果公开,唤起大家对于这方面的重视,包括事前该怎么做,以及事件发生时事中如何应变、事后如何恢复,对于企业组织而言,可以检视哪些有做、哪些没做。
关于受害者方面,目前外界传出已有11家国内企业组织受害,林建隆表示,刑事局在31日移送地检署侦办时,已掌握国内有7家受害,攻击目标涵盖学校、医院、上市公司。