圖片來源: 

法務部調查局

自5月4日到5日,臺灣兩大石化公司與高科技製造廠接連受到網路攻擊,這些企業對於我國來說相當重要,再加上時間點接近20日總統就職日,很難令人不禁聯想是一連串的目標性攻擊,但真的是相關的嗎?今天(15日)法務部調查局也根據他們的調查結果,證實上述時間連續出現的勒索軟體攻擊事件,是由特定駭客組織連續出手,並表示駭客已經另外鎖定10家臺灣的企業,打算再度犯案,要企業及早進行檢查與提防。

對於駭客發動攻擊的經過為何?調查局指出,駭客在數個月之前,就藉由員工的工作站電腦、網頁伺服器,以及資料庫伺服器等管道,入侵公司的內部網路,開始潛伏並加以刺探環境,伺機竊取特權帳號再入侵網域控制伺服器,掌握網域控制伺服器後,駭客利用凌晨時段竄改群組原則(GPO),進行派送駭客執行勒索軟體的惡意排程,一旦員工啟動電腦,就會立即套用上述原則並自動執行,啟動駭客預埋在內部伺服器的勒索軟體,下載到記憶體內執行,加密電腦檔案。

在加密檔案向企業進行勒索之餘,駭客也在攻擊工具裡埋藏了後門程式,連往位於國外的C&C中繼站,這些中繼站的主機,駭客是向美國境內雲端主機(VPS)服務供應商租用,並使用滲透工具Cobalt Strike遠端存取控制。根據調查局掌握的資訊,他們研判發動攻擊的是中國駭客組織Winnti,或者與這個組織有密切關係的駭客。

Winnti是由中國政府資助的駭客組織,它有很多別名,包括APT41、Blackfly,以及Barium等,專門發動供應鏈攻擊而引發關注。這個駭客組織也長期鎖定國家的關鍵基礎設施,暗中埋伏、監控,以及發動攻擊。其中,去年德國媒體Der Spiegel踢爆,TeamViewer公司曾於2016年遭駭,傳出就是Winnti所為。這個駭客組織不只聽令於中國政府,甚至濫用中國政府對其放任的態度,私下鎖定遊戲業者攻擊來中飽私囊。

由於這一波攻擊與Winnti有關,再加上前述駭客租用雲端主機的供應商,負責人也是華人,令人不禁認為這次的事件與中國政府有所關連。

但更值得注意的是,駭客很可能還會發動第2波勒索軟體攻擊。根據調查局掌握的情資,這些駭客也鎖定另外10家臺灣企業,同樣已經潛伏了數個月,因此他們呼籲企業要趕快進行檢查,例如,出現異常的VPN存取行為、網域伺服器群組原則遭到竄改等徵兆,來察覺是否可能成為這些駭客的攻擊目標。


Advertisement

更多 iThome相關內容