HiatusRAT攻擊臺灣市府、民間企業，也瞄準美國軍事採購系統

資安廠商發現一項名為HiatusRAT的木馬程式攻擊行動，近日復出大舉攻擊臺灣半導體、化學等企業、地方政府及美國軍方採購相關的伺服器，懷疑可能和中國有關。

資安業者Lumen旗下Black Lotus Labs實驗室今年3月，觀察到名為HiatusRAT的木馬程式感染全球超過100多臺邊緣網路裝置。它寄生在邊緣路由器上，被動蒐集流量並當作C&C伺服器執行。在消失一段時間後，Black Lotus研究人員於6月中再度發現HiatusRAT攻擊活動的跡象。有別於原本外界認為的拉丁美洲及歐洲，研究人員發現HiatusRAT這波攻擊鎖定臺灣，也對一個美國軍事採購單位發動偵察。

圖片來源_Lumen Black Lotus Labs

這波攻擊期間是從6月初到8月。研究人員觀察到HiatusRAT代管在虛擬私有伺服器（virtual private server，VPS），超過九成流量是鎖定臺灣組織，而且似乎偏好Ruckus邊緣網路裝置。遭到鎖定的臺灣組織，包括半導體、化學製造廠，以及至少一個縣市政府。研究人員追查攻擊架構，發現到其中一個節點位於中國，並有3臺位於美國。

Black Lotus Labs還發現到，攻擊者的目標也包含美國國防部和軍事採購合約、招標有關的伺服器。6月13日僅2小時就有超過11MB的雙向資料傳輸，研究人員懷疑攻擊者可能藉由尋找公開的招標文件，了解美國軍事需求以及和美國國防產業（Defense Industrial Base）有關的組織。

根據技術分析，HiatusRAT可能和已知對美國政府發動的其他中國駭客，如Storm-0558及Volt Typhoon是不同的活動叢集。不過Black Lotus Labs相信，這波攻擊顯示以較小型的美國國防設備供應商，以及支持臺灣的組織為對象進行情蒐，也符合美國國家情報總監辦公室（ODNI）威脅評估反映的中國戰略目標。

安全廠商建議企業應有安全上網服務邊緣（secure access service edge，SASE）架構或VPN連線，並開啟安全連線如SSL/TLS以保護傳輸中的資訊。消費者則應定期安裝安全更新，並汰換已過服務生命周期的設備。