晴時多雲

攻擊承包政府資訊廠商當跳板 中國駭客駭入我逾10機關

調查局資安工作站副主任劉家榮表示,承接政府標案的資訊服務供應商,成為中國駭客主要攻擊目標,作為跳板攻擊政府機關。(記者陳慰慈攝)

調查局資安工作站副主任劉家榮表示,承接政府標案的資訊服務供應商,成為中國駭客主要攻擊目標,作為跳板攻擊政府機關。(記者陳慰慈攝)

2020/08/20 05:30

〔記者陳慰慈/台北報導〕調查局近來偵辦數起我政府機關遭駭案件,發現中國駭客組織Blacktech、Taidoor、MustangPanda與APT40,將四家承接我國政府機關資訊服務的供應商,當作「跳板」發動攻擊,自二○一八年起駭入台北市政府、水利署水資源局、某國立大學等,至少十個政府機關,試圖竊取我國「機敏資訊」,「裡面資料可能都被看光光」,調查局已成立專案小組積極偵辦。

代管郵件伺服器 遭植入後門程式

調查局資安工作站副主任劉家榮表示,承接政府標案的資訊服務供應商,因負責政府機關重要資訊系統的開發及維運,成為中國駭客主要攻擊目標,作為跳板攻擊政府機關。劉舉例說,某家資訊廠商代管政府機構五台郵件伺服器,卻被中國駭客植入網域後門程式,該機構約有六千個信箱帳號,懷疑駭客從這些帳號取得所需資訊後離開。

機關主機被駭 裡面資料恐被看光

駭客究竟竊取什麼「機敏資訊」?劉家榮說,駭客入侵後隨即將路徑抹滅,因此無法得知駭客竊取了哪些資料,但機關的內部伺服器及主機被駭,就算沒有資料被竊取,「裡面資料可能都已被看光光」,已對資安造成重大威脅,因政府機關內有攸關國家重要發展、建設等資料。

廠商未配置資安人員 成資安破口

調查發現,中國駭客組織深知政府機關為求便利,常提供遠端連線桌面、VPN登入等機制,提供委外資訊服務廠商進行遠端操作與維運,由於國內廠商大多缺乏資安意識與吝於投入資安防護設備,也未配置資安人員,因此形成資安破口。

調查局分析發現,有受駭資訊服務供應商被植入的惡意程式為Waterbear後門程式,此為中國背後支持的駭客組織Blacktech近年常用的惡意程式,並有證據支持其攻擊來源來自中國湖北;另也在受駭公司發現另個中國支持的駭客組織Taidoor的駭侵活動足跡,足證Blacktech及Taidoor正透過供應鏈攻擊我政府機關。