國家級駭客的攻擊行動不時有消息傳出,而這些駭客多半是暗中進行監控,或是藉由破壞牟取利益,但這個週末針對烏克蘭的攻擊行動,駭客的目的主要是造成當地的民眾恐慌,甚至是對於政府的不信任。攻擊者入侵了約70個烏克蘭政府的網站,並竄改網頁內容,以數種語言恐嚇「烏克蘭人的個資已經遭到外洩」。從這些網站造成的損害來看,可能影響有限,烏克蘭政府宣稱多數已恢復運作,且沒有網站儲存的資料遭到外洩的情況,但這起事故真正的破壞力在於,有可能造成當地社會民心不安,或是認為政府資料保護不力。

另一起重大的資安事件,就是俄國在上述事件發生的隔日,大舉逮捕勒索軟體駭客組織REvil的成員,並特別宣稱是依照美國的意思執法。由於此起逮捕行動極為不尋常,與過往俄國的態度極為不同,外界也在猜測該國此舉背後的動機。

【攻擊與威脅】

數十個烏克蘭政府網站遭駭,疑似是俄羅斯所為

烏克蘭與俄國關係緊張的態勢,疑似因近日俄羅斯意圖說服西方國家,阻止烏克蘭加入北大西洋公約組織(NATO)不成,而發動大規模的網路攻擊。根據路透社、彭博社、莫斯科時報、Bleeping Computer等新聞網站報導,1月13日晚間烏克蘭許多政府網站,如外交部、國家安全與國防事務委員會(NSDC)等部門遭到攻擊,14日早上網站出現無法存取的情況,可能有70個政府網站遭到攻擊,這些網站的內容遭到竄改,以烏克蘭語、俄語、波蘭語宣稱,烏克蘭人的個資已經遭到外洩。

根據莫斯科時報的報導,烏克蘭國家安全局(SSU)發出聲明證實確有此事,但強調他們尚未發現民眾資料外洩的跡象,並指控這起攻擊行動很可能就是俄羅斯所為。

究竟這些網站是如何被入侵的?Bleeping Computer取得消息來源的說法,這些網站疑似使用存在漏洞的October CMS內容管理平臺(CMS),攻擊者透過CVE-2021-32648身分驗證繞過漏洞,做為侵入這些網站的初始管道。

俄國逮捕勒索軟體組織REvil成員,疑似是要向美國施壓

過往俄國政府不太積極追捕駭客,甚至被美國指控是意圖藏匿犯人,而最近一起大動作圍捕參與勒索軟體REvil攻擊行動的駭客,被認為別有用意。俄羅斯聯邦安全局(FSB)在1月14日逮捕14名REvil組織的駭客,並查獲6百萬美元、4.26億盧布、5百萬歐元現金,以及20輛透過網路犯罪所得購買的高級汽車。

FSB強調,此舉是因應美國的要求,但外界認為,這起逮捕行動是為了轉移與烏克蘭關係緊張的焦點,並作為要脅美國的籌碼──在13日,烏克蘭數十個政府網站驚傳遭到俄國攻擊,再者,俄國總統普丁也下令,要在烏克蘭邊境部署10萬兵力。

烏克蘭政府網站遭到攻擊的事故,美國指控是俄國所為的栽贓攻擊

烏克蘭數十個政府網站於1月13日晚間遭到攻擊,網站內容被竄改成恐嚇訊息。此舉外界認為可能就是俄國所為,但攻擊的動機是什麼?美國五角大廈的發言人於15日指出,這很有可能是俄國發動的栽贓(False Flag)行動,對於俄國人或在烏克蘭使用俄語的人士,意圖製造他們被烏克蘭敵對的現象,進而讓烏克蘭挑起爭端,而成為俄國能夠出兵的藉口。

惡意軟體WhisperGate鎖定烏克蘭組織趁火打劫,意在破壞而非勒索

針對烏克蘭和俄國關係緊張的情勢,除了俄國疑似於1月13日攻擊數十個烏克蘭網站之外,微軟也在同一天發現,有來路不明的駭客組織DEV-0586,利用名為WhisperGate惡意軟體,攻擊數十個烏克蘭政府機關、非營利組織、IT業者,該惡意軟體會覆寫受害電腦的主要開機磁區(MBR),索討1萬美元復原電腦,且會損壞電腦裡的檔案。研究人員認為,攻擊者的目的並非贖金,而是要徹底破壞電腦檔案。

烏克蘭逮捕攻擊逾50個企業的勒索軟體駭客組織

在烏克蘭政府網站大量遭到攻擊之前,警方於1月13日宣布破獲一個勒索軟體駭客組織,該組織由36歲的基輔居民為首腦,成員包括他的妻子與其他3名熟人。該組織透過垃圾郵件傳遞惡意軟體,但尚不清楚所使用的勒索軟體種類。根據警方調查,超過50家公司受到攻擊,總共損失超過百萬美元。除了勒索軟體攻擊,這個駭客組織亦提供VPN服務給其他網路犯罪人士,以便下載惡意軟體或是進行攻擊。

勒索軟體Lorenz攻擊跨國國防承包商Hensoldt

攻擊者鎖定國防單位的合作廠商,很可能可以從中獲得國防機密,或是入侵國防單位。例如,勒索軟體Lorenz宣稱,他們攻陷了國防感測器承包商Hensoldt,並取得為數不詳的文件,並將其大部分上傳到該組織的公告網站。經資安新聞網站Bleeping Computer向Hensoldt確認,該公司的發言人證實,英國子公司部分行動裝置遭到波及。

美國新墨西哥州監獄受到勒索軟體波及,視訊監控鏡頭與自動門無法使用

政府機關遭到勒索軟體攻擊,有可能對於特定機構造成嚴重破壞,例如,美國新墨西哥州伯納利歐縣政府驚傳在1月5日午夜到凌晨5時30分,遭到勒索軟體攻擊,其中,當地的監獄大都會拘留中心(MDC)受到波及,導致網路連線中斷,視訊監控鏡頭與自動門皆無法使用,MDC被迫暫停所有的探監。根據該單位的IT人員確認,數個資料庫遭到破壞,而該設施的重要系統,包含事件追蹤系統(ITS)、罪犯管理系統(OMS),都無法存取。由於監獄的建築環境中無法使用行動網路,使得IT人員搶修更加困難。

對於雙因子驗證機制未落實的網路下單券商,證交所要求限期改善

針對券商帳號安全問題,臺灣證券交易所在1月7日曾召集各家券商,研議如何強化網路安全資安防護,在1月17日上午有工商時報東森新聞科技新報等國內多家媒體報導,指證交所已下令,全體券商必須限期完成旗下全體電子下單客戶的密碼重新設定修改,並以1月21日為最後期限,對於這樣的報導內容,我們連繫到證券交易所券商輔導部,該單位指出,相關報導過於誇大,這次會議後的內容,主要是針對之前實施雙因子驗證機制並不完善的少部分券商,應在1月24日前完成落實,而強制所有客戶更改登入系統密碼的部分,是關於完成雙因子系統修改前的防範措施。

 

【漏洞與修補】

微軟防毒軟體驚傳漏洞,可讓惡意程式規避偵測

微軟防毒軟體Microsoft Defender提供的白名單機制,已有數起攻擊行動濫用,而讓攻擊者的惡意軟體不受檢查。研究人員發現,這個白名單本身存在設計瑕疵,可讓攻擊者規避偵測,且這項漏洞存在於多個版本的Windows。SentinelOne研究人員Antonio Cocomazzi指出,攻擊者只要使用命令提示字元搜尋機碼,就能夠得知Microsoft Defender的例外資料夾,一旦將惡意軟體存放於這些資料夾裡,該防毒軟體就不會進行掃描。這項漏洞影響所有版本的Windows 10和Windows Server 2019,但Windows 11不受影響。

針對上述揭露,資安研究員Aura表示,8年前從事技術支援時,他就察覺相關漏洞,而另一名研究人員Paul Bolton去年曾向微軟通報卻未獲得修補。

 

【近期資安日報】

2022年1月14日,美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

2022年1月13日,俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

2022年1月12日,微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

2022年1月11日,網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

2022年1月10日,Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

2022年1月7日,NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

2022年1月6日,駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

2022年1月5日,研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

2021年12月30日,加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

2021年12月29日,密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

2021年12月28日,資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

2021年12月27日,IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

2021年12月23日,阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

2021年12月22日,Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

2021年12月21日,比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

2021年12月20日,Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

2021年12月17日,Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統

熱門新聞

Advertisement