駭客瞄準Linux系統植入後門程式，臺灣也在受害之列

安全研究人員近日發現，中國駭客疑似發展出一種相當複雜的後門程式，正鎖定Linux伺服器及終端發動攻擊，臺灣也成為攻擊目標之一。

安全廠商Intezer近日發現一隻全新後門程式，冒充Linux平臺的Policykit精靈程式，專門攻擊Linux伺服器和電腦。由於它使用XOR作為網路資料的加密演算法，研究人員將之稱為RedXOR。同時，根據RedXOR攻擊的策略、手法和程序，研究人員研判它是由一個高調的中國駭客組織Winnti所開發。

研究人員最早是在掃瞄平臺VirusTotal平臺，發現由受害者上傳的RedXOR樣本。這些樣本的來源包括臺灣和印度，兩者向來是中國駭客攻擊的目標。雖然VirusTotal上有超過五、六十種掃毒引擎，但在3月10日時對這些樣本卻只有很低的偵測率，62個引擎只有1個偵測到異狀。

RedXOR是以GCC組譯工具在舊版Red Hat Enterprise Linux上組譯而成，顯示RedXOR是為攻擊舊版Linux系統而設計，而且此時仍然持續活動中。

分析樣本Intezer研究人員發現，RedXOR和名為Winnti的中國駭客組織使用過的惡意程式，包括PWNLNX後門以及殭屍網路病毒XOR.DDOS及Groudhog有許多重疊之處，包括都使用舊的開源核心rootkit 程式Adore-ng、功能命令方式、建立的攻擊架構、運作及檔案結構很類似，也都使用XOR演算法為網路流量編碼加密。他們相信，RedROX可能是Winnti發展出的最新攻擊工具。

Winnti是受中國政府支持的駭客組織，它有很多別名，也被稱為APT41、Blackfly、Barium。2011年起卡巴斯基就發現Winnti多次攻擊臺灣、美國及東南亞的遊戲業者以竊取遊戲程式碼，也會對軟體、硬體廠商發動供應鏈攻擊，華碩電腦2019年即被它駭入更新伺服器以下載到用戶電腦中。此外，德國媒體也指控，德國公司如西門子、Teamviewer等都曾遭到Winnti的毒手。

研究人員指出，RedROX具有隱匿行蹤、在受害者系統內蒐集用戶ID、密碼及系統資訊，並與外部C&C伺服器建立加密連線傳送資料，還能執行C&C伺服器傳送的指令，以及遠端更新自我功能。

針對RedXOR，研究人員提醒，為防止企業網路遭到感染，應僅從信賴的雲端服務下載可信賴的程式碼。

但Intezer進一步指出，過去10年以來，Linux系統已成為大型APT（進階滲透威脅）活動，以及以間諜為目的惡意程式的目標，有些高端的國家駭客也已針對Linux發展出攻擊武器，未來Linux系統將面臨更複雜且更頻繁的威脅。

除Linux系統外，本月初微軟公布Exchange Server的ProxyLogon漏洞後，ESET發現Winnti也是駭進Exchange Server的駭客組織之一。