网路安全情报公司FireEye今天发布最新资安报告「APT38: Un-usual Suspects」，报告内指出代表北韩的骇客组织「APT38」就是近期於全球金融机构尝试窃取超过11亿美元的幕後黑手。

该集团至少从2014年就在全世界13个国家或地区攻击了超过16个组织，而有些攻击甚至是同时间进行的。而FireEye更公开在2017年至少有一起针对亚洲银行的攻击，就是APT38所为。

根据观察到的攻击活动，FireEye认为APT38的主要目的是攻击金融机构与操控银行金融系统，以帮助北韩政权窃取大量资金。北韩因不断开发与测试武器而屡遭国际制裁，而且制裁力道愈来愈重，在经济压力越来越大的状况下，才为国家利益窃取资金。

FireEye认为APT38组织在小心翼翼执行他们以财务为动机的行动中，所运用的独特工具、策略、技术手法以及程序(TTPs)，都可将此组织单独与其他北韩的网路活动分开进行追踪。

APT38攻击的特点是规划时间长，在任何尝试窃取金钱的行动前，会长时间的造访受害者环境。而该组织非常谨慎，任何动作都是经过计算。为了了解网路布局、所需的权限及系统技术的必要性，会长时间的潜伏在受害者环境中。FireEye观察到该组织平均在受害者网路中的时间为155天，而停留在受害者受损的环境中最长的时间甚至将近两年。

FireEye北亚区总经理徐海国(Michael Chue)也建议台湾企业提升攻击侦测与应变能力，以防范ATP38这类骇客组织。「银行界对资安问题的处理存在极大风险，因为他们通常基於成本考量而选择堪用的安全解决方案。这样的妥协会导致严重的营运风险。如果金融系统的网路攻击加剧，企业就会面临存亡危机。攻击带来的潜在後果远远超过迅速侦测与解决攻击所需的资源。台湾的CEO与企业董事必须体认到他们面对的是有犯罪动机的人类，而不是恶意软体，」徐海国表示。