圖片來源: 

pxfuel

資安廠商發現一項名為HiatusRAT的木馬程式攻擊行動,近日復出大舉攻擊臺灣半導體、化學等企業、地方政府及美國軍方採購相關的伺服器,懷疑可能和中國有關。

資安業者Lumen旗下Black Lotus Labs實驗室今年3月,觀察到名為HiatusRAT的木馬程式感染全球超過100多臺邊緣網路裝置。它寄生在邊緣路由器上,被動蒐集流量並當作C&C伺服器執行。在消失一段時間後,Black Lotus研究人員於6月中再度發現HiatusRAT攻擊活動的跡象。有別於原本外界認為的拉丁美洲及歐洲,研究人員發現HiatusRAT這波攻擊鎖定臺灣,也對一個美國軍事採購單位發動偵察。

圖片來源_Lumen Black Lotus Labs

這波攻擊期間是從6月初到8月。研究人員觀察到HiatusRAT代管在虛擬私有伺服器(virtual private server,VPS),超過九成流量是鎖定臺灣組織,而且似乎偏好Ruckus邊緣網路裝置。遭到鎖定的臺灣組織,包括半導體、化學製造廠,以及至少一個縣市政府。研究人員追查攻擊架構,發現到其中一個節點位於中國,並有3臺位於美國。

Black Lotus Labs還發現到,攻擊者的目標也包含美國國防部和軍事採購合約、招標有關的伺服器。6月13日僅2小時就有超過11MB的雙向資料傳輸,研究人員懷疑攻擊者可能藉由尋找公開的招標文件,了解美國軍事需求以及和美國國防產業(Defense Industrial Base)有關的組織。

根據技術分析,HiatusRAT可能和已知對美國政府發動的其他中國駭客,如Storm-0558Volt Typhoon是不同的活動叢集。不過Black Lotus Labs相信,這波攻擊顯示以較小型的美國國防設備供應商,以及支持臺灣的組織為對象進行情蒐,也符合美國國家情報總監辦公室(ODNI)威脅評估反映的中國戰略目標。

安全廠商建議企業應有安全上網服務邊緣(secure access service edge,SASE)架構或VPN連線,並開啟安全連線如SSL/TLS以保護傳輸中的資訊。消費者則應定期安裝安全更新,並汰換已過服務生命周期的設備。

熱門新聞

Advertisement