包商缺資安意識 10機關遇駭

調查局資安站提供惡意DN及IP,供國內機關自我檢查並封鎖。(調查局資安站提供)
調查局資安站提供惡意DN及IP,供國內機關自我檢查並封鎖。(調查局資安站提供)

【記者袁世鋼/臺北報導】

調查局近來偵辦數起我政府機關資訊系統遭駭案件,資安工作站副主任劉家榮指出,Blacktech、Taidoor等中國駭客組織,自2018年起已陸續滲透國內中央部會、地方政府等10單位以及4家資訊服務供應商;目前雖然無法得知是否有資料遭竊,但調查局已成立專案小組積極偵辦中。

陸駭客以資訊商為跳板攻擊政府機關

劉家榮表示,政府委外的資訊商負責政府重要資訊系統開發、維運,因此成為駭客主要攻擊目標。政府機關為求便利,常提供遠端連線桌面、VPN登入等機制給資訊商進行遠端操作,但國內廠商大多缺乏資安意識、吝於投入資安防護設備,也未配置資安人員;而政府機關對資訊商也不會設防,中國駭客組織便以資訊商作為跳板攻擊政府機關。

劉家榮以Blacktech的攻擊手法舉例,因多數民眾並不會對路由器設備進行軟體更新或修改預設設定,駭客會先鎖定國內存在尚未修補CVE漏洞的網路路由器,並取得該路由器的控制權作為惡意程式中繼站。同時,駭客也透過政府委外資訊商破解員工VPN帳號密碼、寄送夾帶惡意程式的釣魚郵件入侵中央部會、地方政府系統。

經分析發現,該惡意程式為後門程式Waterbear,受感染的電腦會自動向中繼站報到,並以加密連線的方式傳送竊取資訊。劉家榮說,目前調查已發現有2個市政府、1間國立大學、中央某些部會及1署、1司等10個機關、4家委外資訊商受到攻擊或向中繼站自動回報;另外也有某署由廠商代管的5台電郵伺服器全遭植入網頁型後門程式Webshell,共6千餘個帳號全都遭殃。

機關企業應避免使用遠端操作

此外,劉家榮指出,Waterbear是Blacktech近年常用的惡意程式,並有證據支持其攻擊來自中國湖北;而在受害機關中也發現另外一個中國駭客組織Taidoor的駭侵活動足跡,雖然目前無直接證據能證實這些駭客組織背後是否受中共政府支持,但顯見中國駭客正透過供應鏈攻擊我政府機關,值得社會大眾注意。

劉家榮強調,由於駭客清除了入侵軌跡,導致我方無從得知是否有任何資料遭竊取,但即便沒有資料遭竊,只要被入侵,所有的資料就讓對方一覽無遺。他也呼籲,各政府單位與企業組織應留意內部可疑的網駭活動,並避免向系統維護委外商提供遠端操作模式,或使用多因子認證方式,以降低被駭客入侵的風險。◇

延伸閱讀
資安黑名單 政院:尚未有結論
2020年08月18日 | 4年前
陸節糧運動 機關食堂設監督員
2020年08月17日 | 4年前
數位貨幣擴大試點 管控陸民錢包
2020年08月17日 | 4年前
陸推融資新規 房企苦日子來了
2020年08月17日 | 4年前
【獨家】中國紅會被揭轉賣防疫品
2020年08月12日 | 4年前
防個資被竊 快更新Chrome瀏覽器
2020年08月11日 | 4年前
陸豬肉價格大漲85% 網友痛罵
2020年08月11日 | 4年前
資安即國安 蔡英文提4大重點目標
2020年08月11日 | 4年前
取消