近日,臺灣有多家主機代管業者傳出遭到大規模DDoS攻擊,包括遠振資訊、捕夢網數位科技、匯智資訊與戰國策集團等其他多家業者,紛紛遇害,而且,目前攻擊仍持續不斷發生,導致這些業者所代管的網站服務都受影響。值得關注的是,由於攻擊對象是這些提供主機代管服務的業者,間接導致他們所代管的網站服務都受影響,更不容忽視的是,這段期間是同時多家業者都遭攻擊,由於臺灣有不少企業組織採用這類服務,面對這樣大規模且持續多日的攻擊態勢,等於有成千上萬的網站服務都受衝擊,值得國內政府單位與企業關注。

關於這次事件,最早公布遭DDoS攻擊的是遠振資訊,在最近連續三天都有發布相關公告。他們先是在20日,於自家網站證實遭受攻擊,而根據他們在21日揭露的資訊顯示,這次事件的發生,最早是從19日傍晚23時開始,隔日情況變得更嚴重,一日內就遭遇3波攻擊,早上、下午與晚上都有,每次都持續1到2小時。

這樣的狀況,已導致國內不少企業組織的網站服務受影響。例如,我們發現兒童福利聯盟(兒福聯盟)在21日於臉書上貼文,表示該組織官方網站因主機故障以至於無法連線,相關網站也處於同樣狀況,包括愛孩子小舖、兒少權益網、小舵手助學計畫,以及助我長大幫我找家等。此事件是否與上述DDoS攻擊有關?我們在今日(23日)上午向兒福聯盟詢問,他們表示所申租的主機商是遠振資訊,而他們的網站主要是21日受影響情況嚴重,到了22日則時好時壞。從時間點與受影響的狀態來看,應該就是受到遠振遭受DDoS攻擊的影響。

在這波DDoS攻擊之下,由於提供主機代管服務的業者遇害,連帶影響的是各個租用服務的國內企業或組織,像是兒福聯盟就是一例。

不僅如此,在遠振資訊的臉書粉絲專頁上,我們也看到不少網友對於此事留言,顯示了這次災情的衝擊相當之大,除了企業網站,郵件與電商業務也因此受影響,例如,有人表示今天一整天已無法接受訂單及出貨,也有人說,他有4臺經銷主機,上百間客戶同時掛點。

更引發關注的是,這波DDoS攻擊的對象不只是一家國內主機商,其實多家業者同樣受害。在22日下午16時,捕夢網數位科技在該公司臉書粉絲專頁發布公告,說明正在面臨DDoS攻擊,因此網路無法順利連線;接下來,戰國策在今日凌晨0時50分,也在他們的臉書粉絲專頁表示,機房正連續遭受DDoS攻擊。此外,我們在今日早上11時30分也發現,戰國策的官方網站也已無法開啟。

有業者已遭受10多波攻擊,攻擊最大量達15Gbps

由於DDoS攻擊不停發生,遠振表示已經能夠清洗因應,不過也有業者坦承束手無策。不論業者能否因應,此事也引發國內許多用戶的擔憂,因為已經造成用戶主機連線緩慢或網站異常,到底廠商是否妥善處理?攻擊來源為何?都是眾人關注焦點。

對此,遠振資訊技術長吳尚儒表示,該公司遭遇攻擊的時間是從9月19日晚上開始,至今攻擊仍持續,每隔幾小時就發動一次,總計已有10多波攻擊,而每次攻擊量在數Gbps到15 Gbps之間。

吳尚儒表示,這波DDoS攻擊帶給他們較嚴重的災情,是在20日與21兩日,影響範圍遍及他們所管理的數千個IP位址。在因應方式上,他們已藉由DDoS流量清洗服務過濾,而他們觀測到的攻擊內容,從較單純的各式洪水式攻擊(flood attack),到複雜的第7層(Layer 7)攻擊都有發現,且攻擊者會轉換攻擊方式,其中當Layer 7的攻擊發生時,由於他們需進行模式識別,再配合清洗中心針對特定模式來處理,因此容易出現短暫服務不穩定的情況。此外,他也提到將選擇國外的清洗服務,以及與遠傳等上游ISP業者,一起商討解決方案,並表示他們日後將強化應變能力。

關於這波DDoS攻擊,遠振資訊指出,這波攻擊是從9月19日23時開始,在20日與21日為他們帶來極大影響,隨著他們持續透過清洗服務來因應,現在已經好轉。但他們也觀察到攻擊者會轉變DDoS攻擊方式,包括使用Layer 7的攻擊。(圖中時間為UTC)

在9月20、21、22日,遠振資訊持續發布遭受DDoS攻擊的最新狀況,其中22日的公告說明了較詳細的現況,包括對用戶說明處理狀況與後續補償,並統整相關用戶的問題。

另一家業者捕夢網,也說明了他們觀察到的攻擊現況。該公司技術長趙永弘表示,對於DDoS攻擊,如果是來自國外的攻擊,主機業者應該容易有相對應的防禦措施,像是他們可以在攻擊活動發生時,暫時阻擋國外IP位址,但這次DDoS的攻擊來源都是國內IP位址。對此,他們請中華電信協助因應,不過,他們發現有近一半比例的攻擊來源,是來自臺灣固網。

而根據他們的進一步追蹤,目前蒐集兩三千筆攻擊來源的IP位址,有很大比例是視訊監控錄影主機(DVR)。顯然這些設備已經遭受殭屍網路控制,並持續對國內主機代管商發動攻擊。

而這些DVR設備被入侵的原因,趙永弘表示,包括用戶使用了過於簡單的密碼,並有很多是開啟Telnet服務,使得入侵難度大幅降低。

對於這次DDoS攻擊帶來的威脅,趙永弘認為,國內各大電信服務商(ISP)需要正視這樣的問題,因為他們遭受的是來自臺灣的攻擊,這會讓不少業者無法招架,而且攻擊可能還會持續發生。那麼,各方該如何解決?他的看法是,不只是DVR業者要盡快修補漏洞,DVR用戶也應修補、更換密碼,並重新開機,另一方面,則是透過ISP業者,針對惡意攻擊封包進行阻斷。

除了設法阻擋及清洗流量,現階段業者還能怎麼做?目前,遠振資訊也已向警察局報案,而捕夢網也表示他們已通報NCC與調查局協助處理。不過,這些業者當前該如何提供防護,仍是用戶關心焦點。

另外,對於這波DDoS攻擊,我們也詢問到戰國策與匯智資訊,前者已公告但並未向我們答覆,後者則在今日(23日)晚間表示,這波攻擊尚未停息,因此目前不願多談。

在9月22晚間22時48分,捕夢網數位科技也在該公司的臉書粉絲專頁上,表示遭受DDoS攻擊,並指出攻擊來源是來自臺灣IP位址,並有大量是DVR設備。

在今日(9月23日)凌晨0時50分,戰國策集團也在他們的臉書粉絲專頁上表示機房連續遭受DDoS攻擊,但目前尚沒有像上述兩家業者提出更多說明。

繼國內券商之後,主機託管商集體遭DDoS攻擊

這次國內主機商集體遭DDoS攻擊,已是繼2017年13家國內券商遭攻擊之後,少有的大規模攻擊事件。值得關注的是,這次國內主機商是否會像之前券商一樣,遭到駭客勒索,要脅業者若不支付贖金將以DDoS癱瘓服務?

目前,根據遠振與捕夢網的回應,他們並未收到這樣的勒索訊息,至於其他業者尚待確認。臺灣電腦網路危機處理暨協調中心(TWCERT/CC)在今日(23日)下午也對此DDoS攻擊事件發出提醒公告,當中並提到有些網管人員討論區,已經出現有關於此事件的情報,只是他們認為訊息還要進一步查證,例如,有人分享疑似勒贖者的對話,要求受害者支付每月100美元的贖金。

對於臺灣多家主機代管商遭DDoS攻擊的現況,臺灣電腦網路危機處理暨協調中心(TWCERT/CC)在今日也發布與這次事件有關的消息,並建議使用各式DVR或IoT設備的用戶,啟用設備時就要更改管理介面預設密碼,隨時更新軟體或韌體,以及發現自己的網路有不正常的大量對外連線時,必須即刻處理。

今年DDoS攻擊趨勢值得關注,不解決日後還有其他產業可能受害

無論如何,這樣DDoS的攻擊趨勢不能被忽視,近期在國際間,也有嚴重的事件發生,例如,在一個月前,紐西蘭證券交易所(NZX)就曾發生至少連續五日遭受DDoS攻擊的狀況,造成多次交易停擺。而在這個月初,美國FBI也警告,指出勒索式DDoS正猖獗,全球已有數千家企業收到勒索通知,是駭客要求業主支付贖金,不從就會發動DDoS攻擊。

至於捕夢網提到國內DVR設備淪為DDoS攻擊來源的問題,我們在今年初也報導相關事件。例如,在今年1月16日,臺灣學術網路危機處理中心(TACERT)曾發布相關漏洞預警,指出可取國際(iCatch)DVR攝影主機遭網路惡意入侵,對外進行DDoS攻擊,該公司也在同日於官方網站發出資安通報,表示將提供安全性升級,並要用戶注意修補。兩個月後,利凌企業(Lilin)也出發布資安公告,提醒數款DVR用戶盡速修補更新,而揭露此事的資安業者,也說明發現攻擊組織鎖定該公司產品漏洞以散布殭屍網路,並分析其DVR產品存在登入帳號密碼寫死在韌體,包括root/icatch99與report/8Jg0SR8K50,這兩組帳號密碼,當時我們認為與供應鏈生態系有關,因為寫死在韌體的帳密與iCatch產品一致。而這次事件的主機商也透露,他們正關注國內另一間環名(HME)DVR產品的狀況。

這些事件也持續受到關注,例如,在今年8月舉行的臺灣資安大會上,中華電信也曾揭露本土DDoS攻擊最新災情數據,當時也有提到今年DVR受駭IoT裝置韌體分析,而在9月舉行的HITCON 2020,我們在現場也看到有專家針對今年DDoS攻擊與IoT/DVR侵駭手法說明攻擊事件始末。

面對這樣的IoT攻擊趨勢,現階段仍需要製造商、用戶、ISP業者與執法單位,共同想辦法來解決。


Advertisement

更多 iThome相關內容