[新闻] 勒索软件Lockbit声称侵入台积电虚惊一场

楼主: nk11208z (小鲁)   2023-07-03 22:00:39
原文标题:
勒索软件Lockbit声称侵入台积电虚惊一场?
合作供应商擎昊科技坦承测试环境遭骇,但仍有疑点尚待厘清
原文连结:https://www.ithome.com.tw/news/157600
发布时间:2023-07-03
记者署名:文/罗正汉
原文内容:
勒索软件Lockbit的威胁成近日焦点,其骇客在6月30日于暗网网站公布台积电为受害者,
并勒索7千万美元赎金,当日下午,台积电否认遭入侵的消息,并指出已得知是一家IT硬
体供应商遭骇,后续传出该业者可能是擎昊科技,当时我们询问了擎昊科技,该公司仅表
示稍晚再向我们说明,后续,该公司于官方网站发布了资安事件的公告,说明遭撷取的资
讯只是使用到客户公司名称的出货基本设定,无关客户实际应用,因此没有造成客户的损
害。
值得关注的是,多国网络安全机构在6月中旬,才针对Lockbit发出联合安全公告示警,指
出近三年Lockbit受害组织数量达1,653个,是这两年最活跃的勒索软件即服务(RaaS),
才过两星期,该组织居然声称他们入侵全球最大晶圆代工龙头台积电,态度十分嚣张,无
视此举可能使其成为世界公敌。
而从后续台积电与擎昊科技的回应来看,Lockbit本次虽然公布受害者身分,却呈现与事
实不符的情况,原因究竟是什么?不小心搞错对象?想要借此进一步打响知名度?测试各
界对此事的反应?还是故意让大家劳师动众确认相关事宜而捣乱?
从现阶段状况而言,在这次Lockbit释出的讯息中,我们在网络上我们看到国外资安研究
团队分享这次事件多张截图,除了Lockbit公布台积电为受害者的画面,还有数张萤幕截
图,但似乎不像以往释出局部外泄档案的作法,供外界能有更多比对资料来证明其价值。
对此事件,台积电在30日已向媒体发表他们的声明。根据我们从台积电公关处取得的声明
,他们表明已知悉某IT硬件供应商遭骇,对于已知泄漏的资讯,他们指出是该供应商协助
的硬件初始设定资料,不会影响台积电生产营运,原因在于,所有进入台积公司的硬件设
备,包括其安全设定,皆须在进厂后通过完备程序做相对应的调整,也就是说,不会受出
货时的基本设定而受影响。
同时台积电也表示,发生事件后已依照标准作业程序来处置,包括立即中止与该硬件供应
商的资料交换,未来将加强宣导供应商的安全意识,与确认安全标准做法的宣导,同时也
提到此次骇侵事件已进入司法。
而台积电所提及的IT硬件供应商,则指向擎昊科技。擎昊科技也在30日发布消息,公告发
生资安事件,说明他们发现遭骇时间发生是在6月29日上午,当日即与客户通报,并与第
三方资安团队与客户共同做损害控管,同时他们也指出,遭网络攻击并被撷取相关资讯的
环境为工程测试区,被撷取的内容是安装设定档等参数资讯,主要是因为当中使用到特定
客户的公司名称,因此引起攻击者的注意,但这些资讯其实无关用户的实际应用,只是出
货的基本设定。
从上述两起声明来看,目前我们还无法得知这起事件背后Lockbit的动机,例如,是否掮
客集团(Initial Access Broker,IAB)提供给Lockbit的资讯有误所导致;或是该组织
是在明知没有入侵TSMC下,却因为取得有关资料,因此故意声称TSMC为受害者,以博取关
注;又或者Lockbit可能存在更广泛的攻击意图,只是尚未被发现。这方面有待后续更多
消息的揭露,才能进一步判断。
目前看来,主要还是反映勒索软件组织近年持续针对供应链攻击的态势。
6月30日台积电公关处声明全文如下
“台积公司已知悉某IT硬件供应商受到骇客侵害之事件,目前已知泄漏的资讯皆为该供应
商协助的硬件初始设定资料,因所有进入台积公司之硬件设备包括其安全设定皆须在进厂
后通过台积公司完备程序做相对应的调整,本次事件不会影响台积公司之生产营运,亦无
台积公司客户之相关资讯外泄。事发后,台积公司已按照公司之标准作业程序处理,包含
立即中止与该硬件供应商的资料交换,后续亦将加强宣导供应商的安全意识与确认安全标
准做法。目前此骇客侵害事件已进入司法调查程序。”
擎昊科技资安事件影响范围受关注
关于这次遭遇Lockbit攻击的擎昊科技,我们也再次联系他们确认状况,例如,他们是如
何发现工程测试区遭骇,是否有勒索软件留下的讯息,或是发现异常调查而发现,以及通
知TSMC外,是否通知所有受影响的客户。至截稿前该公司尚未回复。
而为了了解这次擎昊科技遭骇情况,我们也从国外资安研究团队揭露的内容来了解情形。
例如,我们在网络上看到国外资安研究团队揭露多张萤幕截图,像是包括一个ilo.txt的
文字内容,HPE Nimble storage云端管理接口的一个邮件警示分页,这两张图中的文字讯
息带有tsmc.com的字串,另外还有一张VMWare ESXi的截图,当中显示的是一个虚拟机器
的群组,被取名为EXSi04.tsmc.com,而当中则包含了数个虚拟机器。
在这些虚拟机器中,包含有Windows NT与多台Windows Server 2016,而其虚拟机器的名
称,则带有多家台厂公司的名字,包含国内上市柜公司精诚、巨路,以及智禾、键祥、英
宝、安极思等多家科技公司,图片中显示可能有多达44家厂商的名字。
因此,是否相关资料也都是工程测试区环境的内容,并都已经通知这些厂商,我们也正向
擎昊科技了解中,截稿前他们尚未提供回复;至于这些截图还可能透露的资讯,我们也正
请教资安专家提出看法,后续如有最新消息也会持续追踪。
心得/评论:
台积电5年前 6年前也是厂商插USB导致机台中毒,这次又是厂商出包
擎昊虽然说是测试环境啦..
台湾硬件人才不缺,但是真的该好好重视软件跟资安了
明天资安股会喷爆吗?

Links booklink

Contact Us: admin [ a t ] ucptt.com