【資安日報】2022年8月5日，高雄市環保局網站被植入五星旗、國防部與外交部網站再度癱瘓

自8月2日美國眾議院議長裴洛西訪臺，反對者發動網路攻擊的情況接連傳出。但即使裴洛西已經前往南韓、日本，臺灣在8月4日晚間到今天早上，仍有許多滋擾的事故發生。這包含了高雄市環保局部分網站被置換五星旗，以及國防部、外交部網站再傳出遭到DDoS攻擊而癱瘓的情況。

再者，行政院、臺電、臺灣網路資訊中心（TWNIC）公布這幾天遭到攻擊的情況。而對於日前電子看板出現恐嚇內容的情事，TWNIC指出，有可能是廣告業者使用了中國軟體，導致攻擊者有機可乘。

而在國際的資安新聞裡，有研究人員揭露了C2中繼站租賃服務，這種服務的出現，不只讓駭客無須自行架設相關設施，也可能會使得網路攻擊更難追查源頭。

【攻擊與威脅】

高雄市環保局飲用水網站被置換五星旗

高雄市環保局揭露飲用水檢測結果的網站，在昨天晚間8時56分，傳出遭到竄改的情況，網站上出現許多中國國旗。環保局於9時15分將網站下架維修。高雄市副市長羅達生表示，此網站主要用途是向市民宣導，市府並未發現資料遺失的情況，也不會影響市民權益。

警方初步調查顯示，駭客利用境外IP位址做為跳板入侵，是蓄意攻擊案件。

臺灣網路資訊中心指出8月2日至3日的攻擊流量占整體75%

自8月2日開始，全臺灣陸續發生政府機關遭到網路攻擊，以及電子看板出現恐嚇訊息的情況，但這樣的攻擊態勢有多嚴重？根據臺灣網路資訊中心（TWNIC）的統計，在8月2日至3日的期間，.tw國家頂級網域DNS最大查詢量約為每秒超過8.5萬筆，其中近75%是惡意攻擊封包，來源主要是美國與中國的雲端業者。

針對電子看板遭到竄改的情事，TWNIC認為相關攻擊行動發生的原因，在於廣告業者普遍資訊專業人力不足，亦有可能採用中國廠商的軟體，從而導致系統遭到攻擊。

網路流傳解放軍擊落我國戰機的消息，遭國防部駁斥

美國眾議院議長裴洛西訪臺引發中國不滿，不只駭客針對政府機關發動網路攻擊，也有人伺機散布軍事演習的假消息來混淆視聽。

國防部於8月4日指出，近期中國通訊軟體Wechat流傳一則消息，聲稱解放軍的戰機擊落了臺灣「伴飛」的戰機，並透過螢幕截圖的方式散布。但國防部強調，實際上，我國空軍根本沒有安排、執行上述提及的任務，亦無戰機遭擊落的情事，微信流傳的是不實資訊。

事實上，這並非中國本週首度散布的謠言。在8月3日，有中國媒體報導桃園國際機場遭到導彈襲擊，並聲稱有飛官開F-16戰機投誠中國。然而，桃園國際機場根本沒有遭到軍事攻擊，中國媒體所指稱的軍官已在2020年11月因公殉職，並追贈少將。

警察相關勤務系統於8月4日晚間無法使用，疑為網路連線設備故障造成

本週臺灣政府機關接連傳出遭到網路攻擊，在這個敏感時刻相關系統故障，很可能讓人認為是駭客入侵造成。警用行動電腦系統M-Police與相關勤務系統於8月4日晚間，發生無法連線的情況，導致執勤員警因無法連線而勤務大亂，外界懷疑是遭到駭客攻擊所致。

針對上述的情況，內政部警政署發出聲明，表示他們於昨日22時30分，發現警察相關勤務系統無法使用，經調查是機房網路連線設備故障所致，初步排除遭到駭客攻擊，亦無民眾個資外洩。經更換設備後，上述系統於今日0時50分陸續恢復服務。

駭客發動攻擊的C2中繼站也可以用租的！研究人員揭露Dark Utilities中繼站租賃服務

為了隱匿攻擊來源，駭客通常會架設C2中繼站來控制惡意軟體或下達命令，但如今這種中繼站也出現了租賃服務。思科揭露名為Dark Utilities的C2中繼站服務平臺（C2aaS），駭客宣稱提供匿名的C2基礎設施，攻擊者只要支付9.99歐元就可使用，目前至少有3千個活躍用戶，粗估經營者獲利3萬歐元。

此C2平臺目前支援駭客使用Windows、Linux的惡意軟體，並以星際檔案系統（IPFS）代管相關檔案。研究人員指出，這樣的租賃服務很可能日後受到攻擊者廣泛利用。

殭屍網路RapperBot鎖定Linux主機而來，透過暴力破解入侵受害電腦

資安業者Fortinet揭露名為RapperBot的殭屍網路，該殭屍網路的惡意程式以Mirai為基礎開發，但具備獨有的C2通訊協定，且與多數殭屍網路病毒的特質有顯著的差異。RapperBot自2022年6月開始，鎖定Arm、MIPS、Sparc，以及x86架構的Linux電腦，利用暴力破解的方式及SSH連線來嘗試掌控受害電腦。此殭屍網路自發現的一個半月以來，針對全球3,500個IP位址發動攻擊。

研究人員指出，此殭屍網路病毒的功能，主要偏重於初期存取伺服器的能力，很有可能日後被用於內部網路環境的橫向移動。