離開
進入合法掩護非法 中國駭客 雙模式襲台
(路透資料照)
〔記者陳慰慈/台北報導〕中國駭客入侵我國政府機關案,調查局發現政府機關會提供資訊服務供應商遠端遙控的VPN(虛擬私人網路),方便廠商進行系統管理及維運,未料反成為駭客組織攻擊跳板,因供應商的IP是政府防火牆的白名單允許連線,網路管理員難以發現被駭,駭客便利用合法方式掩護非法,以兩種模式駭侵我國政府機關。
調查局資安工作站副主任劉家榮表示,第一種駭侵模式,中國駭客組織MustangPanda與APT40透過中繼站,攻擊中國或香港的IP當作中繼跳板,再去駭侵資訊服務供應商,竊取政府提供給廠商VPN帳號後,再遠端登入政府機關網路,伺機取得具管理權限的帳戶後再進行橫向擴散;劉指出,為方便管理及避免被發現,駭客會登入網域伺服器主機,嘗試建立管理權限的網域帳號後,最後會清除入侵相關軌跡,VPN會連線回駭客指定的主機IP。
第二個駭侵模式,中國駭客組織Blacktech與Taidoor先入侵委外的資訊服務供應商後,會控制該公司網域伺服器,利用群組原則派送惡意程式給內部公司每部電腦,再遠端攻擊所屬客戶、也就是政府機關的內部主機與伺服器,從中竊取機敏資訊。
