攻擊政府駭客源頭查到了 調查局揪出境外駭客攻臺資訊供應鏈
調查局資安站副主任劉家榮說明駭客攻擊政府機關方式。(張孝義攝)
2018年起陸續發生政府機關被駭客入侵攻擊案,調查局19日表示,經資安工作站調查,駭客來自境外,利用政府機關提供遠端連線桌面、VPN登入等機制進行攻擊;資安站並公佈manage.lutengtw.com等惡意網域,供國內機關自我檢查並加以封鎖。
資安站副主任劉家榮表示,資安站發現包括經濟部投審會、水利署水資源局、臺北市政府等10個政府機關被駭客入侵攻擊,試圖竊取機敏資訊及民衆個人資料,溯源追查發現攻擊來自境外的駭客組織,包括MustangPanda、APT40及Blacktech與Taidoor等駭客組織。
資安站調查發現,被攻擊的政府機關都有將資訊業務委外發包給資訊廠商承作,MustangPanda等駭客組織利用竊取VPN帳密登入攻擊,或入侵供應鏈廠商,甚至利用家用路由器資安防護較低的特性,攻擊控制後當作入侵供應鏈廠商的跳板。
由於駭客組織深知政府機關爲求便利,常提供遠端連線桌面、VPN登入等機制,提供委外資訊服務廠商進行遠端操作與維運,而且國內廠商大多缺乏資安意識與吝於投入資安防護設備,也沒有配置資安人員,故形成資安破口,讓駭客有機可乘。
資安站表示,以主要活動在東南亞地區的Blacktech駭客組織爲例,駭客先鎖定國內存在尚未修補的CVE漏洞的網路路由器設備,因多數民衆未對設備做韌體更新或修改預設設定,所以遭駭客利用這些CVE弱點取得路由器控制權作爲惡意程式中繼站,並以另一途徑攻擊國內資訊服務供應商或政府機關的對外服務網站、破解員工VPN帳號密碼及寄送帶有惡意程式的釣魚郵件等,成功滲透內部網路後,利用模組化惡意程式進行橫向移動。
資安站表示,經分析惡意程式爲Waterbear後門程式,受感染電腦會向中繼站報到並以加密連線的方式傳送竊取資訊;另外,駭客爲能以多途徑方式持續取得受駭單位內部網路控制權,也在受駭單位內部伺服器安裝VPN連線軟體,如SoftEtherVPN,其亦可以被利用來對外向其他單位進行攻擊或存取網頁型後門(Webshell)進行竊資。
資安站並公佈了11個惡意網域,供國內機關自我檢查並加以封鎖,同時加強資安防護;這11個惡意網域爲manage.lutengtw.com、dccpulic.lutengtw.com、trust.utoggsv.com、wg1.inkeslive.com、k3ad01.rutentw.com、ams05.cksogo.com、edgekey.whybbot.com、shed.inkeslive.com、ap21.gckerda.com、cornerth.com、teamcorner.nctu.me。