揭秘“攻擊”工行在美全資子公司的“勒索病毒”！業(yè)內(nèi)：就像自己的抽屜被別人上了鎖！

每經(jīng)記者 張宏  劉嘉魁    每經(jīng)編輯 馬子卿    

美東時間11月8日，“宇宙第一大行”中國工商銀行股份有限公司在美全資子公司——工銀金融服務有限責任公司（以下簡稱“ICBCFS”）被“網(wǎng)絡狂徒”盯上了。

日前，ICBCFS在官網(wǎng)發(fā)布聲明稱，由于遭勒索軟件攻擊，導致部分系統(tǒng)中斷。ICBCFS表示，發(fā)現(xiàn)攻擊后立即切斷并隔離了受影響系統(tǒng)，已展開徹底調(diào)查并向執(zhí)法部門報告，正在專業(yè)信息安全專家團隊的支持下推進恢復工作。

圖片來源：ICBCFS網(wǎng)站

至于業(yè)務受影響程度，ICBCFS在聲明中提到，已成功結(jié)算周三執(zhí)行的美國國債交易和周四完成的回購融資交易。中國工商銀行及其他國內(nèi)外附屬機構(gòu)的系統(tǒng)未受此次事件影響，中國工商銀行紐約分行也未受影響。

這起事件的主角之一，所謂的“勒索病毒”是什么？鋼筋混凝土打造的銀行，能防得住網(wǎng)絡攻擊嗎？

自己的“抽屜”被別人上了“鎖”！

工行在美全資子公司遭遇勒索病毒攻擊

日前，工行在美全資子公司ICBCFS在聲明中提到，“由于遭勒索軟件攻擊，導致部分系統(tǒng)中斷。在遭遇勒索病毒攻擊后，已隔離系統(tǒng)。”北京明朝萬達科技股份有限公司助理總裁兼研發(fā)中心總經(jīng)理安鵬向記者解釋稱，病毒都會有攻擊鏈路，一開始黑客只能攻擊外圍系統(tǒng)，比如某一臺辦公電腦、郵箱系統(tǒng)等。因為這些外圍系統(tǒng)暴露面較多，很容易入侵進去。

但是繼續(xù)入侵，IDS系統(tǒng)（入侵檢測系統(tǒng)）或防火墻可能就會起到作用。此次事件中，可能ICBCFS末端設備的一些殺毒軟件、沙箱或者蜜罐技術(shù)已經(jīng)檢測到入侵行為，并及時進行阻斷，以降低損失。

“病毒的傳播是從一臺設備到另外一臺設備，這個過程是通過網(wǎng)絡通信進行的。傳播的過程，首先惡意軟件會有一個掃描系統(tǒng)，探測與之相同網(wǎng)絡域里有哪些IP地址。然后，向這些IP地址發(fā)送探測報文，根據(jù)探測報文返回的結(jié)果，確定哪些系統(tǒng)有脆弱性，比如操作版本比較低，或沒打‘補丁’。而后針對性地攻擊這個系統(tǒng)，利用漏洞遠程執(zhí)行代碼，將這個系統(tǒng)變?yōu)樘鍣C，再去探測攻擊與之有網(wǎng)絡連接的設備，一步步滲透到系統(tǒng)內(nèi)部。所以，只有當系統(tǒng)內(nèi)部確實有漏洞和脆弱性，病毒才能進得去。”

此外，安鵬進一步補充，“如果采取物理隔離的方式，病毒失去了傳播途徑，再怎么傳播也只能局限在外圍，無法進入系統(tǒng)內(nèi)部。所以通過網(wǎng)絡隔離的方式，肯定是可以阻止勒索病毒進入到內(nèi)部系統(tǒng)的。”

上海銀聯(lián)的王工程師告訴《每日經(jīng)濟新聞》記者，“目前銀行的核心系統(tǒng)，一般情況下都會采用‘主+備’的機制，系統(tǒng)不會設置在同一個地方。雖然不清楚此次工銀美國系統(tǒng)為何受攻擊，以及受攻擊后采取了哪些應對措施，但銀行系統(tǒng)的應對流程大差不差。從官方聲明來看，業(yè)務沒有受太大影響，很可能是災備系統(tǒng)起了作用。此時勒索軟件再去攻擊的話，由于無法及時獲取到災備系統(tǒng)的IP信息和網(wǎng)絡策略，從而失敗。”

值得注意的是，這起事件的主角之一，“勒索病毒”究竟是什么呢？有業(yè)內(nèi)人士比喻稱，“如果自己存放重要資料的抽屜被他人上了鎖，鎖上貼著字條——‘交贖金拿鑰匙’，這就是‘勒索病毒’。”

安鵬在接受《每日經(jīng)濟新聞》記者采訪時表示，“勒索病毒”其實是一種惡意軟件，與普通計算機的病毒傳播類似，勒索病毒也可以通過網(wǎng)絡傳播，感染計算機。勒索病毒發(fā)作時，可以加密用戶的文件，也可能阻止用戶訪問計算機操作系統(tǒng)，或文件目錄。黑客將本來用于保護用戶數(shù)據(jù)的加密技術(shù)，反向用于勒索，用戶只有通過交贖金的方式獲取密鑰，才能解開被加密的數(shù)據(jù)。

記者注意到，近年來勒索病毒肆無忌憚四處攻擊，不少金融機構(gòu)都成為其下手目標。深圳市網(wǎng)絡與信息安全行業(yè)協(xié)會在其公眾號上發(fā)布，僅在2022年，全球多家保險、銀行乃至央行成為勒索病毒的攻擊目標。例如：2022年1月，印尼央行遭勒索軟件襲擊，超13GB數(shù)據(jù)外泄；2022年3月，保險業(yè)巨頭AON遭網(wǎng)絡攻擊，不過該事件并未對公司業(yè)務、運營和財務狀況產(chǎn)生重大影響；2022年5月，贊比亞央行遭勒索軟件攻擊，部分系統(tǒng)中斷服務；2022年11月，澳大利亞醫(yī)療保險巨頭Medibank遭勒索軟件攻擊，網(wǎng)絡犯罪團伙有關(guān)的攻擊者已經(jīng)泄露了大量公司的敏感信息，包括客戶的個人信息和健康數(shù)據(jù)等。

如今，隨著加密貨幣興起，這一病毒更加難以溯源，至今仍然活躍異常。安鵬表示，勒索病毒的“活躍”與比特幣等通過區(qū)塊鏈技術(shù)制作的支付貨幣有關(guān)。

以前，黑客要收贖金就要提供賬號，容易在這個環(huán)節(jié)暴露身份；現(xiàn)在，黑客要求用比特幣的方式支付，因為比特幣是一種加密貨幣，可以在互聯(lián)網(wǎng)上以匿名的方式交易，所以很難溯源。據(jù)介紹，在區(qū)塊鏈的系統(tǒng)內(nèi)，所有交易信息都以哈希值（用以標識加密信息的字符串）的形式呈現(xiàn)，不可篡改也難以溯源。

難以溯源，犯罪成本就變得很低；比特幣等可以交易，存在利益鏈條。但這也不是完全無法追蹤，安鵬指出，“比如，由比特幣轉(zhuǎn)換成實際貨幣的過程，會留下交易記錄，可以針對一些異常線索，展開追蹤。”

除了“勒索病毒”，還要關(guān)注哪些“攻擊”？

業(yè)內(nèi)：每月都要定期更新，查漏洞打“補丁”

此次事件發(fā)生后，記者采訪了某大行渠道部陳經(jīng)理。陳經(jīng)理告訴記者，近期，他所在的銀行總行專門下發(fā)郵件，要求全行加強網(wǎng)絡安全意識。郵件指出，要加強銀行核心系統(tǒng)病毒庫的升級、及時更新，并著重強調(diào)各級機構(gòu)加強網(wǎng)絡安全監(jiān)控，務必做到互聯(lián)網(wǎng)終端與內(nèi)網(wǎng)的隔離。同時，進一步提升員工安全意識，比如日常工作中不要點擊來歷不明的郵件鏈接、安全使用U盤等事項。

除了“勒索病毒”外，金融機構(gòu)還容易受到哪些網(wǎng)絡方面的攻擊？

安鵬介紹，除“勒索病毒”外，金融機構(gòu)還容易遭受DDOS攻擊（分布式拒絕服務攻擊），或遭受攻擊導致數(shù)據(jù)泄露。安鵬介紹，黑客通過跳板攻擊的方式惡意掌控大量“肉雞（受控服務器）”，不停地訪問機構(gòu)的服務接口，導致服務器過載，正常的服務請求中斷。

“‘肉雞’可能分布在全球各地，所有者甚至對此毫不知情。”安鵬舉例稱，“比較典型的是，（比特幣）‘挖礦’的礦機被黑客掌控，作為跳板；還有很多企業(yè)內(nèi)部有一些服務器，這些服務器如果不及時打“補丁”、升級病毒庫，很有可能自己的系統(tǒng)被黑客利用而不知情。”

DDOS攻擊的目的是什么？安鵬表示，“假如兩家企業(yè)業(yè)務重合，其中一家業(yè)務癱瘓，另一家就會獲得用戶。也可能用于國家間的對抗，如果想讓整個金融系統(tǒng)癱瘓，黑客就可能對這個國家的金融系統(tǒng)發(fā)起DDOS攻擊。”

此外，機構(gòu)面臨的另一種網(wǎng)絡安全威脅是數(shù)據(jù)泄露。安鵬表示，“造成數(shù)據(jù)泄露的原因是多方面的。一部分來自內(nèi)部，一部分來自外部。來自內(nèi)部的情況下，內(nèi)部人員有意無意情況下造成數(shù)據(jù)泄露。來自外部的情況下，例如，受到黑客攻擊，包括勒索病毒等，將數(shù)據(jù)加密以后發(fā)到暗網(wǎng)上去售賣也是有的。”

現(xiàn)實中，銀行等金融機構(gòu)的網(wǎng)絡遭受黑客、木馬攻擊導致崩潰等情況是否常見？

上述某大行渠道部陳經(jīng)理告訴記者，偶爾會有網(wǎng)絡卡頓的情況，但系統(tǒng)遭受攻擊的情況沒遇到過，總體很安全。“唯獨有一次，在辦理業(yè)務時，系統(tǒng)白屏了，短暫中斷，當時還有很多網(wǎng)絡說法。”該人士笑稱，說明銀行系統(tǒng)中斷的情況還是很罕見的。

不過，銀行系統(tǒng)遭遇黑客入侵、勒索軟件、木馬等導致崩潰或中斷的情況也真實發(fā)生過。某城商行分行楊行長回憶說，有一次，他們的系統(tǒng)就遭遇了這樣的危機。“??！系統(tǒng)斷了，怎么回事？！”他還原了當時的情況，“在辦業(yè)務途中，因為木馬植入，全行系統(tǒng)都中斷了，但時間比較短。”

此外，還有一些很特殊、很戲劇化的情況，也會造成銀行網(wǎng)絡中斷。“比如，我行的網(wǎng)絡曾因老鼠咬斷網(wǎng)線而中斷過，監(jiān)管部門還過來檢查了。”陳經(jīng)理向記者補充道，“當然了，老鼠不會泄露銀行信息，但黑客入侵的話，存在客戶信息被盜用的風險。”

出現(xiàn)網(wǎng)絡中斷時，對于正在辦理的業(yè)務有影響嗎？

陳經(jīng)理舉了兩個例子，說明系統(tǒng)中斷對業(yè)務的影響很有限。“一種情況是，假如客戶正在進行柜面取款業(yè)務，剛刷完卡，系統(tǒng)就中斷了，那么在系統(tǒng)恢復后，繼續(xù)辦理即可，沒什么影響。另一種情況是，如果客戶已經(jīng)確認了交易，提交了信息，這個時候如果網(wǎng)絡中斷的話，那么系統(tǒng)恢復后會提示辦理人員立即核對流水，有沒有重復交易。這個可以理解為系統(tǒng)內(nèi)置的一種防護措施，保障柜面資金和客戶資金安全。”

他表示，當系統(tǒng)中斷恢復后，系統(tǒng)自身和銀行相關(guān)部門都會提醒進行業(yè)務流水檢查，發(fā)現(xiàn)異常交易并及時處理，不存在利用系統(tǒng)漏洞盜取銀行資金的情況。他還透露，銀行系統(tǒng)的風險識別機制越來越智能了，同樣的業(yè)務在30分鐘內(nèi)重復提交，系統(tǒng)會提示，或直接拒絕。這樣可以避免因為網(wǎng)絡延遲或者系統(tǒng)故障而造成的重復交易。

對于系統(tǒng)中斷是否會影響正在辦理的業(yè)務，上述某城商行分行楊行長向記者表示，“沒有影響，客戶不必擔心這一點。我們的系統(tǒng)每個月都會進行更新修復、查找不足、打“補丁”等。技術(shù)始終在進步，如果系統(tǒng)落后，就會增加被入侵的風險。”

那么，網(wǎng)絡攻擊對金融業(yè)有何危害呢？

安鵬表示，數(shù)據(jù)泄露對機構(gòu)造成的危害主要表現(xiàn)在聲譽損失上面，但其實對業(yè)務開展沒有什么影響。因為數(shù)據(jù)本身就具有可復制的屬性，遭遇泄露，系統(tǒng)里依然有這些數(shù)據(jù)，還可以繼續(xù)使用。DDOS攻擊，可能意味著短暫的交易中斷，例如，網(wǎng)銀如果遭受攻擊，用戶將暫時無法查詢存款或進行交易；勒索病毒的危害可能比數(shù)據(jù)泄露更大一些，因為會影響業(yè)務開展。數(shù)據(jù)如果全被加密，網(wǎng)上交易就全部中斷了。

陳經(jīng)理坦言，“系統(tǒng)白屏事件”也引發(fā)了一些輿論的質(zhì)疑，有人懷疑銀行系統(tǒng)是否存在安全隱患，是否會泄露客戶信息。他說，他們也及時向客戶和社會解釋了事件的原因和處理結(jié)果，強調(diào)了銀行系統(tǒng)的安全性和穩(wěn)定性，以及銀行對客戶信息的保密性和尊重性。同時，還會定期向客戶推送一些網(wǎng)絡安全知識和防范措施，提醒客戶注意保護自己的信息和資金安全。

楊行長也持有同樣的觀點。“銀行系統(tǒng)被入侵導致中斷的事件，即使沒有造成什么實際損失，也會給銀行帶來一些潛在的影響，從經(jīng)濟效應、社會效應等方面，都有可能產(chǎn)生風險。例如，客戶資金可能會因突發(fā)事件而流失，還可能由于客戶恐慌而造成聲譽風險，這對銀行而言是難以承受的。”

主動防御，內(nèi)外隔離

工程師：銀行系統(tǒng)的“Plan B”是化解危機的法寶

那么，金融機構(gòu)面對這些網(wǎng)絡威脅，該如何抵御呢？

安鵬認為，數(shù)據(jù)是關(guān)鍵之一。“實際上，業(yè)務系統(tǒng)的數(shù)據(jù)，相對來講是在系統(tǒng)內(nèi)部的，一般在數(shù)據(jù)中心內(nèi)一些核心的服務機房里面。所以對于這些系統(tǒng)的防護，是可以有一些監(jiān)測和防護手段的。有了這重防護，即使某個辦公人員的筆記本數(shù)據(jù)被加密，重裝系統(tǒng)再同步一下數(shù)據(jù)庫里的數(shù)據(jù)即可。數(shù)據(jù)保護好了，外圍系統(tǒng)被攻擊，就格式化系統(tǒng)。”

“備份也是應對勒索病毒很好的辦法，但備份的成本也很高。要將全部數(shù)據(jù)備份，需要單獨采購一個服務器。”

對于如何防止病毒入侵，安鵬表示，“從網(wǎng)絡安全的角度來講，還是要做到不能有漏洞，而且要有一個整體的設計和規(guī)劃，就是所謂的‘點攻面防’。什么是‘點攻面防’？就是在整個系統(tǒng)里不能有‘軟柿子’，只要病毒找到一個‘軟柿子’就可以攻擊成功。所以，為了應對‘點攻’，要開展‘面防’，不能頭痛醫(yī)頭腳痛醫(yī)腳。”

“病毒入侵時，都是找系統(tǒng)漏洞。無論是操作系統(tǒng)，還是應用軟件，都可能會有一些漏洞。這個漏洞可能會讓黑客遠程執(zhí)行一些具備破壞性的代碼，比如加密文件。但前提是，病毒一定是先利用了漏洞，成功執(zhí)行了這部分代碼，才能做到這一點。”

“銀行網(wǎng)絡的風險防控措施，從大的方面來看，可以分為內(nèi)部管理和外部維護兩個層面。”楊行長告訴記者，內(nèi)部管理主要是加強內(nèi)部傳輸管理和內(nèi)部軟件管理，防止內(nèi)外部人員利用U盤或其他移動終端植入病毒和木馬；外部維護主要是定期更新軟件，檢查系統(tǒng)漏洞、打“補丁”，以及設置防火墻、實時更新病毒庫等，監(jiān)測和攔截可疑的訪問和交易，防止黑客入侵和攻擊。

“銀行人員要通過內(nèi)部系統(tǒng)進行溝通往來，如果沒有嚴格的內(nèi)部管理，沒有統(tǒng)一的傳輸要求，很容易植入病毒。”該行長表示。他坦言，銀行的系統(tǒng)雖然安全系數(shù)很高，但也存在被黑客入侵的風險。隨著病毒越來越“高明”，銀行要盡量前移風險防控關(guān)口，發(fā)現(xiàn)系統(tǒng)漏洞及時打“補丁”，如果內(nèi)部修復和應對機制滯后，出現(xiàn)大面積病毒感染時才重視，為時已晚。

大行和中小銀行在網(wǎng)絡安全和危機處理方面有哪些優(yōu)勢和劣勢？

陳經(jīng)理認為，對于大行來說，系統(tǒng)大多經(jīng)歷了不斷發(fā)現(xiàn)“BUG（程序錯誤）”而后修復“BUG”的過程。由于積累了足夠的經(jīng)驗教訓和各地案例，“錯題庫”豐富一些，可以搭建起部分中小銀行尚未了解到的防控措施。

而楊行長認為，對于中小銀行來說，優(yōu)勢在于組織結(jié)構(gòu)和業(yè)務架構(gòu)相對更簡單，更扁平，遇到網(wǎng)絡安全危機時能夠及時傳導至各級，解決問題的效率更高。

此外，銀行網(wǎng)絡安全防控要有應急演練和備用網(wǎng)絡，做到內(nèi)外隔離。

“我們的系統(tǒng)是不識別外部U盤的。”陳經(jīng)理介紹，該行主要通過局域網(wǎng)、外來網(wǎng)絡接入、移動終端管理等方面來布局網(wǎng)絡安全風控措施，以防止外部病毒和木馬的入侵。

“銀行機房是重地，隨進隨出都要登記。”從物理層面，銀行會對網(wǎng)絡進行定期巡檢維護和風險漏洞排查。銀行機房也是開業(yè)前監(jiān)管部門現(xiàn)場核查的重點區(qū)域之一。

銀行系統(tǒng)，主要分為對外辦理業(yè)務的系統(tǒng)，和對內(nèi)辦公的OA系統(tǒng)。“我行已經(jīng)整合成一個系統(tǒng)了，統(tǒng)稱核心系統(tǒng)，但用的局域網(wǎng)不同，對外的稱為生產(chǎn)端，對內(nèi)的稱為辦公端，二者嚴格隔離，這也是風控手段之一。”他表示。

據(jù)悉，針對網(wǎng)絡中斷這種突發(fā)情況的應急演練，是銀行網(wǎng)絡安全防控措施之一。陳經(jīng)理介紹道，應急演練又分了很多層面，營業(yè)網(wǎng)點主要針對網(wǎng)絡用戶終端，對于銀行渠道部等部門來說，要安排部署系統(tǒng)中斷期間銀行的運營流程，對于技術(shù)部門，則主要針對網(wǎng)絡突然崩潰等情況，同時啟用防止災害的備用網(wǎng)絡，俗稱防災備線，“相當于銀行系統(tǒng)的一個Plan B（第二行動方案、備選方案）”。

他透露，他們的系統(tǒng)有多個備用網(wǎng)絡，如果主網(wǎng)絡出現(xiàn)故障，就會自動切換到備用網(wǎng)絡，保證系統(tǒng)的連續(xù)性和穩(wěn)定性。這些備用網(wǎng)絡都是經(jīng)過嚴格測試和驗證的，不會出現(xiàn)數(shù)據(jù)丟失或者不一致的情況。

銀行系統(tǒng)的“Plan B”，可能也是此次工銀美國化解危機的法寶。上海銀聯(lián)的王工程師告訴《每日經(jīng)濟新聞》記者，“主流的銀行都會采用類似‘兩地三中心’這樣的系統(tǒng)配置。正常情況下，會在主營的主機上進系統(tǒng)，如果發(fā)現(xiàn)自然災害或黑客入侵等網(wǎng)絡災害的情況，會立即切斷主系統(tǒng)，將業(yè)務切入到災備系統(tǒng)中。”他分析道，就此次工銀美國系統(tǒng)受攻擊的情況而言，可能是將現(xiàn)在正在運行的系統(tǒng)主動切換到其他災備系統(tǒng)上。

“根據(jù)監(jiān)管要求，銀行至少要每隔兩年完成一次災備切換演練，并報告演練結(jié)果。”王工程師說，雖然監(jiān)管要求是至少兩年要進行一次災備演練測試，但銀聯(lián)每年都會將信息傳導給銀行，進行主備機的切換演練，驗證整個業(yè)務運行流程。

以信用卡業(yè)務為例，為了確保業(yè)務能夠在災備系統(tǒng)中有效運行，一般情況下，銀行會將80%以上的主營業(yè)務放在主運行系統(tǒng)上進行交易接收，將很少一部分安全性要求不太高、交易成功率要求沒有那么高的業(yè)務放在災備系統(tǒng)運行。“這樣的話，有問題就能及時發(fā)現(xiàn)。”

他表示，一般情況下，銀行會通過一根或多根專線來進行業(yè)務處理和系統(tǒng)之間的交互，總體還是很安全的，受網(wǎng)絡攻擊的概率很低。網(wǎng)絡前端有一道防火墻，并定期和實時更新病毒庫。比如陌生IP頻繁訪問，就能實現(xiàn)一系列監(jiān)控。

在網(wǎng)絡的外圍，系統(tǒng)都需要設計相應的IP。為什么會通過專門的線路？“正常情況下，即使你知道銀行系統(tǒng)的IP地址，但在訪問系統(tǒng)之前，對于專線來說，IP是陌生的，可能直接就被防火墻阻斷了。”王工程師舉例道，比如銀行的系統(tǒng)要和銀聯(lián)的信用卡系統(tǒng)進行交互，要開通網(wǎng)絡策略，那么，銀行會將系統(tǒng)IP提供給我們，我們把IP部署到防火墻策略中，相當于雙方約定好，將銀行IP地址寫入我們的防火墻白名單。

封面圖片來源：視覺中國-VCG211101902712