德國廣播公司BR(Bayerischer Rundfunk)和NDR(Norddeutscher Rundfunk)與資安研究人員合作分析惡意軟體Winnti,發表了Winnti駭客攻擊研究報告,該報告提到多家知名德國大型企業都是Winnti的攻擊目標,包括Valve、Teamviewer、西門子以及Thyssenkrupp等。另外,Winnti駭客也執行政治間諜任務,研究人員相信,Winnti駭客受中國政府控制。

資安研究人員提到,駭客把他們想監視的組織名稱,直接寫進惡意程式中,他們分析了超過250個Winnti惡意軟體的變體,發現其中至少包含6家德國知名大型企業,以及其他日本、美國、印度和印尼等企業,甚至還有香港政府。研究人員聯繫從惡意程式中發現的企業,多家企業都證實了入侵事件。

Winnti初期的知名攻擊,發生在2011年德國遊戲公司Gameforge,由於Gameforge的員工不慎打開電子郵件中的惡意附加檔案,自此之後,遊戲內開始發生一些無法解釋的現象,像是部分玩家變得超級有錢。雖然Gameforge懷疑遭盜入侵,也使用卡巴斯基防毒軟體掃描,但是沒有任何發現,直到卡巴斯基資安人員深入分析系統,才發現Gameforge的40臺遊戲伺服器早就遭到侵入。

這份報告提到,他們認為有兩組Winnti駭客,第一組開發並使用Winnti,而有另一組同樣使用Winnti惡意程式的駭客,瞄準德國的工業進行攻擊。2014年德國生活用品公司Henkel便是其中一個受害企業,駭客入侵了Henkel的網路,能夠監控網頁伺服器的所有活動,而且有能力存取沒有直接與網際網路相連的系統,像是背部儲存檔案和內部網路。

遠端控制與桌面共享應用Teamviewer在2016年也受到Winnti攻擊,該公司最終是換掉整個IT基礎設施才得以擺脫駭客控制。研究人員指出,Winnti駭客並非亂槍打鳥的攻擊企業,而是採取有策略有計畫的入侵攻擊目標。報告還揭露了西門子、羅氏大藥廠以及日本的信越化學工業、住友電氣工業都受到Winnti攻擊,但除了西門子,其他企業都沒有正面回應攻擊事件。

一直到最近,Winnti攻擊行動仍然非常活躍,2019年6月Winnti駭客攻擊了德國知名黏著劑與油漆製造商Covestro,雖然沒有丟失任何資料,但是有兩個系統感染了Winnti惡意程式,另一家黏著劑製造商Bostik也在2019年初被感染。報告引用德國不願具名政府官員的話提到,Winnti針對德國發動經常性的攻擊。

關於Winnti駭客的背景,卡巴斯基資安研究人員在Gameforge的入侵事件,發現了中文的線索,而由多家企業組成的德國網路安全組織DCSO,其中的資安專家提到,Winnti駭客就像是傭兵,他們認為Winnti駭客使用中文母語工具,跟中國政府關係匪淺,但駭客集團本身是在中國之外的國家運作。

Winnti駭客也滲透政治組織,報告提到,他們發現香港政府也受監控,至少有4個系統遭感染Winnti,香港政府也證實入侵事件,表示最近有2個部門6臺連接網際網路的電腦感染Winnti。一家在西藏政府所在地區的印度電信公司也被滲透,惡意程式內也有關鍵字tibet(圖博),除了這些直接的政治間諜監視行動之外。美國萬豪酒店與印尼的航空公司Lion Air,也受到Winnti駭客工具入侵,研究人員提到,這些入侵行動可以用來確認特定人士,在特定時間出現的位置。


Advertisement

更多 iThome相關內容