吳富梅觀察,近年來,境外敵對勢力的威脅增加,當今資訊戰的手法,已經開始結合網路駭侵來散播不實資訊,攻擊手法也日益複雜

圖片來源: 

圖/iThome

今年5月4號,法務部調查局獲報,中油、台塑內部系統遭不明人士植入勒索病毒,儲存的檔案均無法開啟,營運受到嚴重影響。當時,調查局迅速成立專案小組來偵辦這起案件,也在獲報的10天之後,就揭露了初步清查的結果,同時對國內其他企業提出6大建議,要企業檢查內部系統來降低被駭風險。也因駭客攻擊後,留下後門程式連往境外中繼站,也就是位於美國境內的雲端主機,因此,調查局也透過國際合作管道,請美國檢察單位協助查案。

由於中油、台塑屬於臺灣的關鍵基礎設施,已經涉及國家安全問題,因此,這兩起同一組織所為的資安攻擊事件,由調查局主動介入偵辦,而法務部調查局資通安全處處長吳富梅,今天在臺灣資安大會中,更完整揭露這起事件的調查經過。

吳富梅指出,其實中油最早在2016年4月,電腦就被執行了惡意程式,意味著駭客可能在當時就已經取得了主機的控制權,而台塑最早也在2019年9月,就已經被入侵。在首次入侵之後,駭客也持續展開攻擊,去年9月,駭客更提權並利用PsExec遠端管理工具,連線到中油內部系統,台塑則是在今年4月被取得特權帳號,來遠端登入AD伺服器。這類瞄準目標、長時間潛伏來鋪陳下一階段攻擊的手法,就是進階持續性威脅(APT)攻擊的類型。

根據調查局偵辦的結果,在這起攻擊事件中,駭客首先從Web伺服器、員工電腦等途徑,入侵公司系統長期潛伏及探測,而後竊取帳號權限,進入AD伺服器,利用凌晨時段竄改群組派送原則(GPO),同時預埋lc.tmp惡意程式到內部伺服器中,等到員工上班打開電腦後,電腦立即套用遭竄改的GPO,依據指令就會自動將勒索軟體載到記憶體中來執行。最後,檔案加密成功,再顯示勒索訊息及聯絡電子信箱,向企業勒索贖金。

而調查局也以掌握的後門程式、中繼站的IP及網域名稱等資訊,研判該駭客組織為Winnti Group,或與該組織具密切關聯的駭客。

調查局成立專責單位來防堵假訊息、偵辦敵對勢力資訊戰攻擊

調查局從1999年成立電腦偵辦科以來,就開始依據刑法36條規範的妨害電腦使用罪,來偵辦電腦犯罪。不過,由於境外網路攻擊越來越多,甚至連假訊息,都已經成為資訊戰攻擊手法,因此,調查局在108年8月成立了假訊息防治中心,於選舉及武漢肺炎疫情期間追查假訊息來源,今年4月更成立了資安工作站,希望透過專責的組織單位,針對網路駭侵案件,或是危及國安、社安的假訊息案件來偵辦,發揮主動防禦的功能。

不只偵辦案件,調查局也負責資安情資蒐報的工作,並同步分享情資給國家資安資訊分享與分析中心(N-ISAC),與各領域的ISAC,以及國家關鍵基礎設施提供者,來進行跨領域的資安威脅與訊息交流。吳富梅表示,希望透過情資分享,來提升各機關、企業的資安防禦意識,進而達成更全面的資安防護。

吳富梅也觀察,近年來,境外敵對勢力的威脅增加,當今資訊戰的手法,已經不是單純竊取機密資料、破壞關鍵基礎建設的網路戰,也不是單純利用輿論、社群媒體來散播不實訊息的認知戰,而是將兩者結合來發動攻擊,比如駭入具影響力的網站平臺、取得使用權限,再來散播假訊息、帶風向等作法。

而且,資訊戰的攻擊手法也更加複雜,從調查局偵辦的案件類型來看,大致可分為情報戰、心理戰、電子戰、駭客戰等四大手法,但複合式的攻擊已經越來越多,再加上駭客匿蹤手法更先進,這對調查局來說,辦案上面臨很大考驗,對於數位國土防禦的情勢,也就更加嚴峻。

因此,調查局除了成立專責資安工作團隊來偵辦相關案件,也鼓勵團隊成員精進自身技術能力、考取專業證照,不只如此,還要教導民眾辨假、識假、打假,為國家資安防禦貢獻一己之力,「因為假訊息防治不能只靠偵辦案件,還需要提升民眾意識,全民一起努力,」吳富梅說。

2020/8/18更正說明:原文提到台塑於2018年9月被入侵有誤,正確時間點為2019年9月,而台塑於去年4月被取得特權帳號的時間有誤,正確時間為今年4月。內文已更正。

相關報導請見:臺灣資安大會直擊(上)資安將是臺灣新戰略產業


Advertisement

更多 iThome相關內容