離開
進入攻擊承包政府標案商當跳板 調查局:中國駭客駭我逾10政府機關
調查局資安工作站副主任劉家榮說明中國駭客如何對我國資訊供應鏈發動攻擊。(記者陳慰慈攝)
〔記者陳慰慈/台北報導〕調查局歸納近來偵辦數起我政府機關遭駭案件,調查發現中國駭客組織Blacktech與Taidoor,自2018年起滲透台北市政府等至少10個我國政府機關及4家資訊服務供應商,試圖竊取機敏資訊及民眾個人資料,為全面清查中國駭客組織利用供應鏈在台灣網路攻擊活動及遏止我國政府機關持續受駭,調查局已成立專案小組積極偵辦。
調查局表示,承接政府標案的資訊服務供應商,因其負責政府機關重要資訊系統的開發及維運,成為駭客主要攻擊目標,作為跳板攻擊政府機關,但駭客攻擊後隨即抹滅紀錄,因此中國駭客究竟竊取了什麼資料不得而知。
調查發現,中國駭客組織深知政府機關為求便利,常提供遠端連線桌面、VPN登入等機制,提供委外資訊服務廠商進行遠端操作與維運,由於國內廠商大多缺乏資安意識與吝於投入資安防護設備,也未配置資安人員,因此形成資安破口。
調查局指出,以Blacktech駭客組織為例,該集團主要活動於東南亞地區,駭客先鎖定國內存在尚未修補的CVE漏洞的網路路由器設備,因多數民眾未對設備做韌體更新或修改預設設定,因此遭駭客利用此CVE弱點取得該路由器控制權作為惡意程式中繼站,並以另一途徑攻擊國內資訊服務供應商或政府機關的對外服務網站、破解員工VPN帳號密碼及寄送帶有惡意程式的釣魚郵件等,成功滲透內部網路後,利用模組化惡意程式進行橫向移動。
調查局經分析惡意程式為Waterbear後門程式,受感染電腦會向中繼站報到並以加密連線的方式傳送竊取資訊;另外,駭客為能以多途徑方式持續取得受駭單位內部網路控制權,亦在受駭單位內部伺服器安裝VPN連線軟體,如SoftEtherVPN,其亦可以被利用來對外向其他單位進行攻擊或存取網頁型後門(Webshell)進行竊資。
調查局表示,Waterbear後門程式是中國背後支持的中國駭客組織Blacktech近年常用的惡意程式,並有證據支持其攻擊來源來自中國湖北,另在受駭公司發現另一中共支持的中國駭客組織Taidoor的駭侵活動足跡,顯見Blacktech及Taidoor正透過供應鏈攻擊我政府機關,調查局並請各政府單位與企業組織協助注偵內部可疑的網駭活動,並建議委外系統維護不提供遠端操作或是使用多因子認證方式,以降低被駭客入侵風險。
