示意圖,Photo by Nemanja Jeremic on unsplash

臺灣資安業者奧義智慧科技(CyCraft)於上周舉行的黑帽大會上揭露,自從該公司在今年4月發表有關臺灣半導體產業的網路攻擊事件白皮書以來,接獲了許多的回應,顯示出臺灣至少有7家半導體業者曾遭到同一個中國駭客集團Group Chimera鎖定。

奧義在2018年及2019年於新竹科學園區,發現幾起針對半導體業者的網路攻擊事件,而且懷疑相關攻擊是來自中國的駭客集團,不管是初期發現的攻擊或是隨後接獲的回應,都顯示它們採用了類似的策略、技術,以及客製化的惡意程式,因此判斷至少有7家半導體業者曾被同一駭客集團鎖定,且目的都是為了竊取機密資訊。

臺灣與美國、南韓及歐盟皆被視為全球半導體產業的領先者,其中,臺灣在晶圓代工及封裝測試領域都位居全球第一,在無廠IC設計(Fabless)則位居全球第二,於垂直整合生產(IDM)名列全球第五。從華為因受到美國制裁,使得全球使用美國技術或設備生產半導體的業者都無法再供貨給華為,造成華為直接宣布因缺乏製造能力,將使華為自家設計的麒麟9000高階晶片斷炊一事,就可看出半導體生產技術的重要性。

根據奧義的分析,Chimera集團可能是先透過網釣郵件或外洩資料作為進入半導體業者網路切入點;並以Cobalt Strike作為主要的遠端存取木馬,以與駭客的命令暨控制(C&C)伺服器通訊,駭客把Cobalt Strike偽裝成Google Update檔案,並將C&C伺服器設置在Google Cloud平臺上以掩人耳目;接著再利用客製化的帳號操作惡意程式SkeletonKeyInjector,來竊取機密資訊。

SkeletonKeyInjector專門對付設定網路存取規則的網域控制器(Domain Controller,DC),它能替位於DC記憶體中的所有使用者添加同一個新的密碼,讓該密碼變成萬能鑰匙,使得駭客得以在企業網路中橫行,竊取有關晶片、軟體開發套件、IC設計及原始碼等機密資訊。

奧義指出,看起來相關攻擊應該是源自於競爭對手甚或競爭國家,為了取得競爭上的優勢而發動的攻擊行動,而且懷疑是中國駭客所為。奧義並未公布受害業者的名稱,僅以代號來說明駭客的攻擊途徑。

繼國際性的黑帽大會之後,奧義也準備在即將於本周舉行的臺灣資安大會上,說明相關的攻擊行動


Advertisement

更多 iThome相關內容