1.新闻网址︰
https://reurl.cc/A8jnZE
2.新闻来源︰
天下杂志
3.新闻内容︰
中国骇客“凯美拉行动”:台7家半导体公司受害 ,连设计图都被看光光
https://imgur.com/M2k0zGM
一个客户的意外发现,让资安公司奥义智慧查出:至少有7家台湾半导体相关公司被中国
骇客攻击,部份案例潜伏时间甚至超过1年,连芯片设计图、技术蓝图等文件都沦陷。难
怪台积告诉供应商,资安过不了评鉴,就不能供货。
知名骇客、同时也是资安新创公司奥义智慧共同创办人吴明蔚,从来没想过他们所发布的
一篇报告,会让他的手机和公司电话史无前例地响个不停,接到美国、巴西、印度、德国
等海外记者密集来电,问他:“凯美拉(Chimera)行动究竟是怎么回事?”
因为8月6日,奥义智慧在全球“黑帽骇客大会”上,以多达73页的简报发表“凯美拉行动
”,揭露中国骇客正针对台湾半导体供应链进行渗透,试图窃取营业祕密。
抓出中国Winnti“传令兵”
吴明蔚解释,台湾半导体行业正被恶名昭彰的中国骇客集团Winnti锁定攻击,今年来,竹
科至少有7家半导体相关公司被骇客攻击,其中某IC设计公司内网不但有骇客潜伏超过1年
,其芯片产品设计图等文件都被攻陷、阅览。
最重大的证据,就是他们在台湾受害者供应链被植入的恶意程式中,发现Winnti常用的特
殊后门恶意程式“baseClient.exe”。
“我们从这个后门内的程式码辨识出就是Winnti行动,”吴明蔚说,“该后门这就像战场
上的‘传令兵’,我们后来发现这个传令兵的存在并且破解它,发现baseClient后门会把
资料往回传,会讲Winnti protocol(Winnti传输协定)。”
吴明蔚将今年密集出现的中国骇客持续性渗透威胁,称之为“凯美拉”骇客行动。
某IC设计公司资料外泄9次
时间拉回去年12月中旬,吴明蔚透露,竹科某知名半导体厂C找上奥义科技,指出他们和
供应商B公司要进行业务合作,双方在安全网域下准备联网交换业务文件,一连却感觉B供
应商的网络,会出现异常行动。
C公司委托奥义帮供应商进行资安鉴识,结果赫然发现,供应商B已被渗透1年以上,至少
被埋下10个恶意程式,骇客从2018年8月开始就一直在B公司的网域里来去自如,登入认证
并观看文件。
“这个骇客还相当有纪律,每3个月就进来打包资料带走,像在做季报一样,”奥义智慧
资深研究员陈仲宽解释,B公司至少被侵入9次,部份芯片专案的技术蓝图(roadmap)、
芯片软件开发套件等技术文件都被看过,但B公司完全没有察觉、文件也没被破坏,骇客
“显然不是以破坏公司营运为目的,而是很明确地潜进来偷商业机密。”
但骇客到底是怎么进来的?奥义将这些骇客命名为“凯美拉”,原因在于:凯美拉是希腊
神话中会喷火的怪物,上半身像狮子、中间像山羊、下半身像毒蛇、嘴里还喷火,后来被
游戏动画衍伸为力量强大的合体怪兽。
陈仲宽说,中国骇客的手法就像凯美拉一样,混合不同的原始码恶意程式,如Dumpert及
有“超级瑞士刀”之称的Mimikatz等,再透过公有云平台当中继站,从微软系统相关程式
更新、或远距NB等多种管道,侵入公司内网。
骇客作息,符合中国“996”常态
奥义4月发布凯美拉报告,吸引竹科其他公司也来询问。奥义5月后陆续调查别家公司,这
才发现:竹科已有至少7家半导体相关行业公司都遭遇骇客攻击。
除了前面所提的Winnti后门“传令兵”,后来也发现,有些受害者被植入的程式码还夹杂
简体中文。吴明蔚因此判断,背后有Winnti成员在内。
吴明蔚观察,凯美拉的行为模式符合中国科技业工作常态“996”,亦即上午9点工作到晚
上9点、一周工作6天,且会在中国大陆的假日(如农历春节、十一长假、大陆特殊节日)
休息。
台积携SEMI制定资安标准
工研院资通所副组长卓传育说,中美贸易战和新冷战情势,让台湾遭受的网络攻击愈来愈
多,且相信骇客“有国家力量在背后”。
过去许多骇客以勒索取财为主,但也有少数特定敏感事业或关键基础设施会被列为国家攻
击或恐攻标的,至于Winnti为何还没打台积,而是先打半导体周边供应链呢?卓传育说,
“当然有在打呀,只是打不进去而已。”
卓传育说,这也是为何工研院要和台积合作,一起制定半导体行业资安标准。
台积资讯技术安全专案部经理张启煌说,半导体产业一直有设备系统老旧、无法更新等问
题,像是目前多数半导体机台都还使用Windows XP系统,台积希望从设备端做好防护。
台积认为应该从机台研发初期就制定资安标准,张启煌说,“因为涉及许多软硬件公司,
所以从去年制定到今年,我们希望年底前可以让全球SEMI会员投票通过,以后机台都有一
致性的资安防护规范。”
4.附注、心得、想法︰
半导体将是接下来中美台角力点
台积电会不断受到中国的攻击