合法掩護非法 中國駭客 雙模式襲台

〔記者陳慰慈／台北報導〕中國駭客入侵我國政府機關案，調查局發現政府機關會提供資訊服務供應商遠端遙控的VPN（虛擬私人網路），方便廠商進行系統管理及維運，未料反成為駭客組織攻擊跳板，因供應商的IP是政府防火牆的白名單允許連線，網路管理員難以發現被駭，駭客便利用合法方式掩護非法，以兩種模式駭侵我國政府機關。

調查局資安工作站副主任劉家榮表示，第一種駭侵模式，中國駭客組織MustangPanda與APT40透過中繼站，攻擊中國或香港的IP當作中繼跳板，再去駭侵資訊服務供應商，竊取政府提供給廠商VPN帳號後，再遠端登入政府機關網路，伺機取得具管理權限的帳戶後再進行橫向擴散；劉指出，為方便管理及避免被發現，駭客會登入網域伺服器主機，嘗試建立管理權限的網域帳號後，最後會清除入侵相關軌跡，VPN會連線回駭客指定的主機IP。

請繼續往下閱讀...

第二個駭侵模式，中國駭客組織Blacktech與Taidoor先入侵委外的資訊服務供應商後，會控制該公司網域伺服器，利用群組原則派送惡意程式給內部公司每部電腦，再遠端攻擊所屬客戶、也就是政府機關的內部主機與伺服器，從中竊取機敏資訊。