Garmin服務全球大當機破3天，疑似攻擊程式樣本曝光，官方也終於回應用戶資料無損

經過2天搶修，Garmin遭遇勒索軟體攻擊的災情依舊沒有完全恢復，多數服務和客服中心仍舊是停擺的情況，但Garmin也優先恢復了多項飛行導航的相關服務。Garmin官方網站第二次針對這次事件發布公告，這次是伺服器維修公告，坦言伺服器仍舊因系統中斷，而影響了Garmin Connect和Garmin Pilot平臺上的部分服務，這次公告不再承諾修復時間，僅表示還在搶救中，且用戶資料都不受影響。

這起全球性服務中斷事件，引發了全球各地的Garmin用戶抱怨，甚至擔心自己的活動記錄或健康狀態資料是否遺失，如何從Garmin裝置離線匯出資料的討論也大獲關注。

後來，Garmin終於在第二次公告中，進一步說明當機事件對用戶資料的影響，他們表示，Garmin Connect服務中斷期間，活動和健康數據會儲存在裝置上，不會遺失，此外，關於這次事件是否會影響使用者資料，他們目前沒看到相關跡象，因此，他們提到，包括活動記錄、支付或個資都不受影響。而我們從Garmin部分服務狀態網頁上，也可以發現：少數原本當機的服務，現在也有部分開始恢復運作，例如，FlyGarmin飛航資料庫網站、飛航導航應用Garmin Pilot App等。

曾賣出2億多個產品，全球上百國用戶都受到大當機影響

Garmin是GPS設備大廠，產品涵蓋了穿戴產品、戶外用品、車用導航、航空或航海設備系統，許多私人飛機採用了Garmin飛航導航或自動飛航輔助系統，甚至還有提供緊急通訊的服務等。根據該公司今年第一季財報，穿戴產品類營收只占了26%，航空、航海和車用產品也各約占2成比例。除了航空產品之外，其餘產品賣到全球超過100個國家，至今賣出了2.2億個各類產品，光是2019財年就賣出了1,500萬個裝置。這次服務中斷等於影響了全球上百個國家的這些裝置的用戶。

最早在7月23日，Garmin官方突然公布了為期2天（從7/23星期四傍晚、7/24星期五到7/25星期六）的維修公告，Garmin相關應用程式和服務服務幾乎全面暫停服務，甚至包括客服中心都停擺。

員工私下向媒體透漏遭勒索軟體攻擊

針對這次服務停擺的事故，iThome在當時也接獲讀者報料，獨家披露了Garmin對內部員工的通告內容，指出Garmin內部伺服器遭受病毒攻擊，導致臺灣工廠生產線全面大停擺，得停工2天的情況。我們那時也向Garmin公關部門查證，但他們不願證實遭攻擊的消息。

後續，多家國外媒體分別私下向Garmin員工查證，才得知可能是WastedLocker這支勒索軟體，而造成了這起大當機事件。國外知名資安媒體BleepingComputer更取得勒索軟體攻擊電腦後的檔案列表螢幕照片，螢幕上列出了遭加密的檔案，附檔名也變更為GARMINWASTED，這是這支勒索軟體習慣的命名特徵，以攻擊對象公司加上WASTED為附檔名，也是以此為名的緣故，而且會有一個附檔名為「_info」的說明檔案。不過，Garmin官方目前仍未證實，自己遭勒索軟體攻擊。

據BleepingComputer從Garmin員工得知，7月23日星期四早上，就發現遭到勒索軟體的攻擊，Garmin為了避免災情擴大，直接將一座資料中心的設備進行強制關機，來避免更多電腦上的資料遭加密，這才進一步導致了Garmin全球服務的大當機。另一家科技媒體Techcrunch同樣也從未獲授權的員工得知，發動攻擊的勒索軟體是WastedLocker，不過沒有更多細節。

WastedLocker是今年5月才被一家英國資安研究公司NCC Group披露的新型態勒索軟體，專門鎖定大型企業發動攻擊。根據這家公司的分析，幕後操控這款勒索軟體的駭客組織是，惡名昭彰的俄羅斯駭客集團Evil Corp。6月時，賽門鐵克披露，美國曾出現了一波鎖定大型企業的勒索軟體攻擊。Evil Corp利用一個JavaScript惡意程式框架SocGholish，將入侵程式偽裝成軟體更新工具，再利用150個遭駭的合法網站來散布，一旦感染到大型企業的網路後，就會暗中利用滲透測試工具Cobalt Strike，搭配企業內部電腦上的合法工具，例如PowerShell，來竊取帳號、權限，在企業內網中移動，最後再將WastedLocker勒索軟體植入到受害企業的大量電腦上，來發動攻擊，進行勒索。遭駭的企業多達31家，其中8間是名列財星500大的企業，其中一個入侵手法是，員工瀏覽了遭駭的新聞網站而遭植入惡意程式。

賽門鐵克當時也將他們發現的WastedLocker攻擊過程，製作成流程圖，可以清楚看到展開大規模攻擊前的手法和所用合法工具，這有助企業偵測出不正常的使用行為，以便提早發現潛伏的惡意程式。

疑似攻擊Garmin的勒索軟體樣本上網曝光

另外，在免費線上病毒分析服務VirusTotal上，7月23日也出現了一支疑似是用來攻擊Garmin的勒索軟體WastedLocker。根據平臺上的自動分析工具追蹤這支程式發動攻擊後的影響，同樣會出現GARMINWASTED的加密檔案，就如同Garmin遭駭後的電腦螢幕畫面一樣。這支惡意程式建立時間是世界標準時間7月22日18:43，也就是臺灣時間7月23日凌晨2點43分，等於可能是在當天凌晨才植入程式來發動攻擊。這個時間也符合BleepingComputer從Garmin員工得知，勒索軟體在早上發動攻擊的情況。在世界標準時間7月23日5點55分（臺灣時間是7/23 13:55），也就是在Garmin維修公告發布之前，有人上傳了這支惡意程式來進行檢測。同樣地，這個消息也沒有獲得Garmin官方證實。

6大產品平臺和關鍵飛航服務都受衝擊而停擺

在Garmin第一次公告中，所揭露的受影響服務包括了Garmin Connect、Garmin Express、Launcher等，不過，進一步從官方Connect服務狀態網頁可以看到更詳細的災情，Garmin旗下6大平臺（Garmin Connect、高爾夫產品線平臺Garmin Golf、潛水產品線平臺Garmin Dive、軟體商店ConnectIQ、兒童手環產品線平臺vivofit Jr.、運動即時追蹤平臺LiveTrack）都呈現當機（Down）狀態，主要功能也全面停擺。

另外，Garmin另一個重要的航空產品線也受到嚴重衝擊而幾乎全面停擺，包括了最重要的飛航資料庫平臺flyGarmin也是從臺灣時間7月23日晚上8點43分開始當機（EDT 7/23 早上08:43)，這個資料庫主要用於提供即時飛航資料、氣象資料等，給所有Garmin的飛航導航軟體、飛行輔助系統之用，這也是會影響飛機能否起飛的關鍵資料庫。另外，Garmin Pilot飛航導航App、FitPlan飛航規畫網站、飛航用Connext服務也受影響，部分服務失效。

就連Garmin衛星通訊服務inReach也受到影響，例如帳單機制和登入功能失效，導致用戶無法進入網站或Explore app，但關鍵的文字簡訊、SOS求就和Email功能可以正常運作。

主要飛航產品服務先恢復，其餘多數服務仍停擺

經過官方公告的2天維修時間，大多數Garmin服務仍舊處於停擺狀態。Garmin Connect服務狀態網站一片紅色「當機」圖示，直到7月26日晚上，仍舊沒有任何服務恢復。倒是Garmin航空產品線有多項服務，在臺灣時間7月26日中午左右，恢復正常運作，根據FlyGarmin服務狀態網頁，包括了Garmin Pilot App、FlyGarmin網站、Connext服務和FltPlan.com都可以正常運作。而Garmin也針對飛航服務，啟用限量人數的電話客服服務，作為緊急支援之用。而inReach衛星通訊服務的登入機制已經恢復正常，使用者可以成功登入Explore網站和App，但部分功能仍舊無法使用，例如網站和App資料同步，inReach帳單功能直到7月26日時也依舊是停擺狀態。