1.媒体来源:
ithome
2.记者署名:
罗正汉
3.完整新闻标题:
调查局首度揭露国内政府委外厂商成资安破口的现况,近期至少10个公家单位与4家资讯
服务供应商遇害
4.完整新闻内文:
调查局归纳近来侦办数起台湾政府机关遭骇案件过程,在今日(19日)发出警示,需重视
委外资讯服务供应商遭中国骇客组织攻击的现况,近期已有市政府、水资源局等至少10个
单位,以及4家资讯服务供应商遇害。
https://imgur.com/LeVRmpy
调查局资安工作站副主任刘家荣说明中国骇客如何从台湾政府委外的资讯服务供应商下手
,侵入多个政府机关。(摄影:罗正汉)
对于国内政府组织内资讯委外的安全问题,今日(19日)法务部调查局资安工作站发出警
示,指出近来他们侦办数起政府机关遭骇案件中,发现政府单位及其资讯服务供应商遭中
国骇客组织渗透的问题严重,最新发现至少有10个政府单位,以及4家资讯服务供应商都
已经受到攻击。
对于有那些政府单位与业者遭骇的问题,调查局资安工作站副主任刘家荣表示,基于侦查
不公开的作业原则,他们并不会透露,但他们呼吁,尚未遭受攻击的单位与业者,都应以
此为鉴,同时资安工作站提供了相关情资与建议,希望能避免这波攻击下会出现更多受害
者。
承包政府标案的供应链厂商成资安破口,调查局归纳出近期两种骇客攻击模式
对于台湾政府单位遭骇的现况,刘家荣表示,他们从最近侦办的数起案件,归纳出近期骇
客攻击的两种模式。
https://imgur.com/PmNIgfF
例如,在第一种模式中,由于骇客清楚国内政府单位资讯委外的习惯,例如,政府机关会
提供VPN帐号供资讯服务供应商进行远端操作与维运,因此,骇客便从该单位的委外厂商
入侵。
调查局并剖析了入侵过程,刘家荣表示,以MustangPanda与APT40骇客组织为例,在他们
的侦办调查结果发现,对方首先会透过中继站攻击,他们追查到该中继站的IP位址,包含
3个香港IP位址与1个中国IP位址,接着,骇客会透过该中继站侵入一家为政府提供服务的
资讯供应商,因此窃取了政府机关提供的VPN帐号,之后就能以合法掩护非法的方式,远
端登入到政府机关网络,伺机取得具管理权限帐号,并进行横向扩散。
值得注意的是,调查局资安工作站也发现,骇客在入侵政府机关内部的主机与服务器后,
为了要长期潜伏以及将获取资料传出,还会偷偷安装SoftEther VPN程式,以连线到骇客
指定的C&C中继站(两个香港IP位址)。另外,他们也会登入机关内部的网域/目录(AD
)服务器,尝试建立具管理权限的网域帐号,最后还会清除入侵相关轨迹。
特别的是,在这种攻击模式下,他们还发现有几个案例是这些资讯服务商托管或代管了政
府的主机,因此在资讯服务供应商遭骇时,这些托管的服务器与主机也可能遭到骇侵。根
据他们的调查,一家资讯服务供应商代管某署的5台邮件服务器,就遭植入Webshell后门
,因此他们合理怀疑,该单位的6,000多个邮件帐号,可能都已经被骇客窃取到需要或必
要的资讯。
https://imgur.com/UQ7kGx0
在第二种模式中,他们发现主要是Blacktech与Taidoor背后的骇客组织所为,骇客一开始
也是从政府机关委外的资讯服务供应商开始入侵,之后将会控制AD服务器,并借由GPO群
组原则将恶意程式派送到每一台电脑。
同时,对方还会骇入一般家用的无线路由器,借此掌控设备并设定VPN连线,以作为受骇
主机向中继站报到的跳板。
刘家荣表示,经过他们调查分析,发现受骇主机内藏有Waterbear后门的恶意程式,这是
Blacktech骇客组织平常所使用的恶意程式,将使受感染电脑向中继站报到,并以VPN传送
窃取资讯。
对此,调查局揭露了从遭骇路由器所查到的11个恶意网域,加上前述攻击的5个IP位址,
希望尚未遭受此一攻击的政府机关与资讯服务供应商,应尽速阻挡这些恶意网域。
【调查局公布以下恶意网域及IP位址,供国内机关自我检查并加以封锁】
●manage.lutengtw.com ●43.240.12.81
●dccpulic.lutengtw.com ●45.124.25.31
●trust.utoggsv.com ●45.124.25.226
●wg1.inkeslive.com ●103.193.149.26
●k3ad01.rutentw.com ●103.240.202.34
●ams05.cksogo.com
●edgekey.whybbot.com
●shed.inkeslive.com
●ap21.gckerda.com
●cornerth.com
●teamcorner.nctu.me
(编按:上述103.193.149.26的IP位址,先前调查局在记者会简报的恶意DN及IP位址清单
一页,误植为113.193.149.26,因此在8月20日通知各界更新清单)
更受关注的是,这次事件相当严重,在调查局揭露的资讯中,他们追查到这些恶意网域后
,又再进一步追踪到,发现国内还有许多IP位址连线到该中继站的情形,当中包含市政府
、水资源局、国立大学等6个公家单位,以及4家资讯服务供应商。这意味着,这些组织与
厂商同样也都已经遭骇。
此外,骇客还会借由原先入侵的资讯服务供应商,远端攻击该业者的政府机关客户。这是
因为供应商的IP位址是政府防火墙的白名单,骇客同样是借由合法掩护非法的方式,使得
政府机关难以发现。对此,调查局也说明他们的发现,在今年3月到4月间,分别有署级机
关、司级单位与某市政府遭到这样的攻击。
对于委外厂商的远端管理一事需检讨,还要检视VPN的异常登入及阻止被偷装VPN软件
虽然揭露骇客的攻击手法,会让对方更有防备,但如果其他政府单位或资讯供应商都不能
了解攻击现况,已知的攻击都无法预警、防范,情况将会更严重。而这次调查局资安工作
站公开发出警示,也显示他们将会采更积极的方式来面对资安威胁。
虽然,这次调查局并未揭露统整的侦办案件数量与详细期间,但从他们透漏的资讯来看,
有攻击事件最早是发生在今年3月,这些案件可能是这半年内的调查结果。
对于近期骇客从供应链下手的威胁态势,调查局提供几项建议,首要的焦点,他们认为,
就是要检讨委外资讯服务供应商透过远端进行管理的必要性。由于国内政府机关往往可能
为了追求便利,提供VPN帐号供厂商远端操作与维运,但这些厂商若缺乏资安意识或吝于
资安设备投入,甚至未配置资安维运人员,容易形成资安破口。白话一点来说,等于关了
大门却开了小门,让骇客有机可趁。
此外,从近期的受骇案件来看,还有一些资安管理上必须重视的问题,像是要能监控AD伺
服器的软件派送情形,并要有办法能够监控网域帐号的异常新增与登入。
机关内部的VPN安全管理,也是这次事件揭露的一大重点,因此调查局也建议,需检视VPN
是否有异常登入情形,对于骇客侵入后在主机安装VPN连线网络软件的问题,同样需要留
意。其实,在上周举行的台湾资安大会,我们也看到有资安专家的分享,是说明国内企业
与政府遭供应链攻击的实例,当中就有提到不少案例是骇客会“帮”单位装Softether
VPN软件,这是早年流行的工具,近年又被骇客拿来利用,因此提醒企业应该要能盘点出
这样的情形,毕竟一般组织内本来就应该不允许安装这样的工具。
至于其他调查局的建议,还包括经常检视防毒主机稽核报告,重新审视防火墙规则,限制
重要主机的对外连线,以及定期修补IP分享器或路由器的漏洞,以及检视VPN帐号与定期
更换密码。
刘家荣表示,在这些案例中,由于骇客会将入侵相关轨迹与资料抹除,因此他们调查时无
法得知那些资料被窃取,但他强调,当机关内部的服务器及主机被骇侵后,其实当中的资
料也都已经被看光光,这样的危害非常大,因此,他们认为,透过调查局公开的资讯与情
资,希望还没有遭到攻击的政府机关与厂商,应该要针对提供的恶意网域与IP位址去防范
,不要让这类攻击继续蔓延,是现在要关心的重点。
5.完整新闻连结 (或短网址):
https://www.ithome.com.tw/news/139504
6.备注: