對於國內政府組織內資訊委外的安全問題,今日(19日)法務部調查局資安工作站發出警示,指出近來他們偵辦數起政府機關遭駭案件中,發現政府單位及其資訊服務供應商遭中國駭客組織滲透的問題嚴重,最新發現至少有10個政府單位,以及4家資訊服務供應商都已經受到攻擊。
對於有那些政府單位與業者遭駭的問題,調查局資安工作站副主任劉家榮表示,基於偵查不公開的作業原則而不透露,但他們呼籲,尚未遭受攻擊的單位與業者,都應以此為鑑,同時資安工作站提供了相關情資與建議,希望能避免這波攻擊下會出現更多受害者。
承包政府標案的供應鏈廠商成資安破口,調查局歸納出近期兩種駭客攻擊模式
對於臺灣政府單位遭駭的現況,劉家榮表示,他們從最近偵辦的數起案件,歸納出近期駭客攻擊的兩種模式。
例如,在第一種模式中,由於駭客清楚國內政府單位資訊委外的習慣,例如,政府機關會提供VPN帳號供資訊服務供應商進行遠端操作與維運,因此,駭客便從該單位的委外廠商入侵。
調查局並剖析了入侵過程,劉家榮表示,以MustangPanda與APT40駭客組織為例,在他們的偵辦調查結果發現,對方首先會透過中繼站攻擊,他們追查到該中繼站的IP位址,包含3個香港IP位址與1個中國IP位址,接著,駭客會透過該中繼站侵入一家為政府提供服務的資訊供應商,因此竊取了政府機關提供的VPN帳號,之後就能以合法掩護非法的方式,遠端登入到政府機關網路,伺機取得具管理權限帳號,並進行橫向擴散。
值得注意的是,調查局資安工作站也發現,駭客在入侵政府機關內部的主機與伺服器後,為了要長期潛伏以及將獲取資料傳出,還會偷偷安裝SoftEther VPN程式,以連線到駭客指定的C&C中繼站(兩個香港IP位址)。另外,他們也會登入機關內部的網域/目錄(AD)伺服器,嘗試建立具管理權限的網域帳號,最後還會清除入侵相關軌跡。
特別的是,在這種攻擊模式下,他們還發現有幾個案例是這些資訊服務商託管或代管了政府的主機,因此在資訊服務供應商遭駭時,這些託管的伺服器與主機也可能遭到駭侵。根據他們的調查,一家資訊服務供應商代管某署的5臺郵件伺服器,就遭植入Webshell後門,因此他們合理懷疑,該單位的6,000多個郵件帳號,可能都已經被駭客竊取到需要或必要的資訊。
調查局近期偵辦數起案件,歸納駭客攻擊有兩種模式,都與中國駭客組織攻擊政府委外的資訊服務供應商有關,例如,第一種模式是竊取了政府機關提供給委外廠商遠端管理的VPN帳號,再以合法掩護非法方式,侵入政府機關內網。
調查局近來偵辦數起臺灣政府機關遭駭案件,在8月19日公開發出警示,提醒各界需重視委外資訊服務供應商遭中國駭客組織攻擊的現況,近期已有市政府、水資源局等至少10個單位,以及4家資訊服務供應商遇害。
在第二種模式中,他們發現主要是Blacktech與Taidoor背後的駭客組織所為,駭客一開始也是從政府機關委外的資訊服務供應商開始入侵,之後將會控制AD伺服器,並藉由GPO群組原則將惡意程式派送到每一臺電腦。
同時,對方還會駭入一般家用的無線路由器,藉此掌控設備並設定VPN連線,以作為受駭主機向中繼站報到的跳板。
劉家榮表示,經過他們調查分析,發現受駭主機內藏有Waterbear後門的惡意程式,這是Blacktech駭客組織平常所使用的惡意程式,將使受感染電腦向中繼站報到,並以VPN傳送竊取資訊。
對此,調查局揭露了從遭駭路由器所查到的11個惡意網域,加上前述攻擊的5個IP位址,希望尚未遭受此一攻擊的政府機關與資訊服務供應商,應儘速阻擋這些惡意網域。
【調查局公布以下惡意網域及IP位址,供國內機關自我檢查並加以封鎖】
調查局資安工作站從近日偵辦的多起案件,追蹤到駭客使用的惡意網域與IP位址,由於同時受駭的單位不少,因此提供相關情資予國內機關自我檢查,並加以封鎖。
●manage.lutengtw.com ●43.240.12.81
●dccpulic.lutengtw.com ●45.124.25.31
●trust.utoggsv.com ●45.124.25.226
●wg1.inkeslive.com ●103.193.149.26
●k3ad01.rutentw.com ●103.240.202.34
●ams05.cksogo.com
●edgekey.whybbot.com
●shed.inkeslive.com
●ap21.gckerda.com
●cornerth.com
●teamcorner.nctu.me
(編按:上述103.193.149.26的IP位址,先前調查局在記者會簡報的惡意DN及IP位址清單一頁,誤植為113.193.149.26,因此在8月20日通知各界更新清單)
更受關注的是,這次事件相當嚴重,在調查局揭露的資訊中,他們追查到這些惡意網域後,又再進一步追蹤到,發現國內還有許多IP位址連線到該中繼站的情形,當中包含市政府、水資源局、國立大學等6個公家單位,以及4家資訊服務供應商。這意味著,這些組織與廠商同樣也都已經遭駭。
此外,駭客還會藉由原先入侵的資訊服務供應商,遠端攻擊該業者的政府機關客戶。這是因為供應商的IP位址是政府防火牆的白名單,駭客同樣是藉由合法掩護非法的方式,使得政府機關難以發現。對此,調查局也說明他們的發現,在今年3月到4月間,分別有署級機關、司級單位與某市政府遭到這樣的攻擊。
對於委外廠商的遠端管理一事需檢討,還要檢視VPN的異常登入及阻止被偷裝VPN軟體
雖然揭露駭客的攻擊手法,會讓對方更有防備,但如果其他政府單位或資訊供應商都不能瞭解攻擊現況,已知的攻擊都無法預警、防範,情況將會更嚴重。而這次調查局資安工作站公開發出警示,也顯示他們將會採更積極的方式來面對資安威脅。
雖然,這次調查局並未揭露統整的偵辦案件數量與詳細期間,但從他們透露的資訊來看,有攻擊事件最早是發生在今年3月,這些案件可能是這半年內的調查結果。
對於近期駭客從供應鏈下手的威脅態勢,調查局提供幾項建議,首要的焦點,他們認為,就是要檢討委外資訊服務供應商透過遠端進行管理的必要性。由於國內政府機關往往可能為了追求便利,提供VPN帳號供廠商遠端操作與維運,但這些廠商若缺乏資安意識或吝於資安設備投入,甚至未配置資安維運人員,容易形成資安破口。簡單來說,這等於關了大門卻開了小門,讓駭客有機可趁,因此對於委外廠商遠端管理的需求,勢必要有所檢討。
此外,從近期的受駭案件來看,還有一些資安管理上必須重視的問題,像是要能監控AD伺服器的軟體派送情形,並要有辦法能夠監控網域帳號的異常新增與登入。
機關內部的VPN安全管理,也是這次事件揭露的一大重點,因此調查局也建議,需檢視VPN是否有異常登入情形,對於駭客侵入後在主機安裝VPN連線網路軟體的問題,同樣需要留意。其實,在上周舉行的臺灣資安大會,我們也看到有資安專家的分享,是說明國內企業與政府遭供應鏈攻擊的實例,當中就有提到不少案例是駭客會「幫」單位裝SoftEther VPN軟體,這是早年流行的工具,近年又被駭客拿來利用,因此提醒企業應該要能盤點出這樣的情形,畢竟一般組織內本來就應該不允許安裝這樣的工具。
至於其他調查局的建議,還包括經常檢視防毒主機稽核報告,重新審視防火牆規則,限制重要主機的對外連線,以及定期修補IP分享器或路由器的漏洞,以及檢視VPN帳號與定期更換密碼。
劉家榮表示,在這些案例中,由於駭客會將入侵相關軌跡與資料抹除,因此他們調查時無法得知那些資料被竊取,但他強調,當機關內部的伺服器及主機被駭侵後,其實當中的資料也都已經被看光光,這樣的危害非常大,因此,他們認為,透過調查局公開的資訊與情資,希望還沒有遭到攻擊的政府機關與廠商,應該要針對提供的惡意網域與IP位址去防範,不要讓這類攻擊繼續蔓延,是現在要關心的重點,並要能提防同樣的攻擊手法。
熱門新聞
2024-10-14
2024-10-13
2024-10-13
2024-10-14
2024-10-12
2024-10-14