DDoS Mon
震惊各界的大规模证券商遭骇客DDoS攻击事件,第一波受害名单首次曝光,从开春至今(包括股市封关后的春节假期),已有多达10家证券商遭受到DDoS攻击,包括2月交易金额排名第一和第二的元大和凯基。明天若骇客发动DDoS攻击,以2月开市后平均每日交易金额来看,10家券商合计189亿元交易金额,佔股市每天整体交易量1,564亿元(以2月6日估算)的12%,这些交易量恐受到波及而下滑。金管会资讯服务处处长蔡福隆指出,全台过半股民会利用网路(包括网站和App)下单。若券商下单网站因DDoS攻击而停摆,恐造成交易量的降低。
2月3日时的攻击流量约800Mbps,但骇客扬言不付款将在2月7日发动Tb级的攻击,攻击流量将是第一波试探攻击的1千倍,遭勒索券商也严阵以待,金管会目前已经请NCC、国内三家ISP业者(中华电信、台湾固网、远传)和行政院资安处,严密监控各证券商网路流量状况,并且提供适时的维护,如果发生异常状况就会直接通报证交所。
依攻击先后顺序,骇客第一波试探攻击的受害对象,包括了凯基证券、元大证券、亚东证券、大展证券、富隆证券、永兴证券、元富证券、高桥证券、大众证券,以及今天早上金管会揭露的群益金鼎证券等共10家。骇客大都挑选早上8点和10点之间,锁定券商发动洪水式DDoS攻击。攻击对象也呈现随机,包括交易金额第二、第二的龙头券商,但也有排名末段的小型券商。
从奇虎DDoS监测网站(ddosmon.net),比对台湾79家证券商网站30天内DDoS攻击灾情,可以发现,从1月24日股市封关之后,有10家证券商遭受攻击。最早遭到攻击的是凯基证券,发生在1月27日早上7点59分的春节年假期间,而最新一波遭到攻击的则是今天(2月6日)早上遇袭的大众证券。其中,亚东证券曾在2月1日在7点46分和8点14分先后遭遇DDoS攻击,是目前唯一遭到两次攻击的证券商。
骇客主要是利用NTP攻击这些证券商,少部分还会利用其他服务协定发动攻击,如SNMP、TFTP。亚东证券、元大证券就遭到骇客一次利用这三种方式,发动洪水式的DDoS攻击。攻击时间大多是15分钟,如高桥证券网站管理人员指出,骇客并非连续攻击到网路瘫痪,而是打了15分钟后就会停止一段时间。
不过,不只是发生DDoS攻击事件的券商成为勒索对象,也有券商收到勒索信,但网站未遭攻击。大部分证券商在遭到攻击或是拿到勒索信件后,没有直接向警方报案,而是向证券公会或台湾证券交易所提报,再由这两个单位回报给警方。
因为骇客扬言,若不付款明天(2月7日)将发动Tb级的攻击,除了政府机关、金管会严阵以待之外,不少券商如高桥证券、永兴证券、群益金鼎证券等皆表示,将交给中华电信流量清洗中心来协助阻挡DDoS攻击流量。
中华电信资安处表示,骇客可能在明天(2月7日)发动规模更大的Tb级DDoS攻击,因此中华电信已经提供多家证券业者紧急防护服务,并强化NOC/SOC监控,也对网路边界提高监控防护。而且,中华电信会提供多层次纵深防御,利用阻挡、隔离、清洗来协助可能遭到攻击的证券商缓解DDoS攻击。这套防护机制会涵盖网路层(L3)、传输层(L4)、应用层(L7)的攻击,当证券商遭受DDoS攻击时,会协助证券商调整路由,讯务导入「清洗防护区」,并进行比对攻击样本过滤,拦截异常讯务,放行正常讯务,缓解攻击,并达到服务持续的目的。
?
台湾史上首次大规模证券商DDoS攻击勒索事件受害名单(股市封面后至2/6期间,资料来源:ddosmon.net)
受害券商
I 相关 / Other
冒名Armada Collective骇客组织在2月7日针对台湾4间券商,包括群益证、台新证、德信证和北城证发动DDoS攻击,最高攻击流量2Gbps。 图片来源: iThome 每年2月第二个星期二就是网路安全日(Safer Internet Day),20
金管会:2月7日针对台湾券商的DDoS攻击流量,最高2Gbps
冒名Armada Collective骇客组织在2月7日针对台湾4间券商,包括群益证、台新证、德信证和北城证发动DDoS攻击,最高攻击流量2Gbps。 图片来源: iThome 每年2月第二个星期二就是网路安全日(Safer Internet Day),20
花莲县玉里镇发生幼鹅感染H5N6高病原性禽流感,台东县的半开放式放山鸡场提高警戒,台东县政府今天加强访查。玉里镇紧邻台东县,昨天传出高病原性禽流感后,由于台东放山鸡都是采半开放式饲养,台东县动物防疫所今天
今日(7日)是上周券商DDoS勒索信预告的攻击日,各证券商和相关单位都提高警戒。不过,早在开盘前,就出现了DDoS攻击灾情。最先通报灾情的是德信综合证券,而昨天传出灾情的群益证券,今天也再度受到DDoS攻击,开盘半小
持续攻击预告!骇客扬言13日对券商发动第二波巨量DDoS攻击
图片来源: 德信证券 德信证券下单网站在今日(2月7日)在7点56分收到骇客的勒索信,8点15分网路流量马上出现异常,立即告知负责该公司网站流量维护的中华电信,判定是DDoS攻击造成异常流量,并且启动紧急修复机制,最