调查局首度揭露国内-委外厂商成资安破口的现况，近期至少10个公家单位与4家资讯服务供应商遇害

对于国内-组织内资讯委外的安全问题，今日（19日）法务部调查局资安工作站发出警示，指出近来他们侦办数起-机关遭骇案件中，发现-单位及其资讯服务供应商遭中国骇客组织渗透的问题严重，最新发现至少有10个-单位，以及4家资讯服务供应商都已经受到攻击。

对于有那些-单位与业者遭骇的问题，调查局资安工作站副主任刘家荣表示，基于调查不公开的作业原则，他们并不会透露，但他们呼吁，尚未遭受攻击的单位与业者，都应以此为鉴，同时资安工作站提供了相关情资与建议，希望能避免这波攻击下会出现更多受害者。

承包-标案的供应链厂商成资安破口，调查局归纳出近期两种骇客攻击模式

对于台湾-单位遭骇的现况，刘家荣表示，他们从最近侦办的数起案件，归纳出近期骇客攻击的两种模式。

例如，在第一种模式中，由于骇客清楚国内-单位资讯委外的习惯，例如，-机关会提供VPN账号供资讯服务供应商进行远端操作与维运，因此，骇客便从该单位的委外厂商入侵。

调查局并剖析了入侵过程，刘家荣表示，以MustangPanda与APT40骇客组织为例，在他们的侦办调查结果发现，对方首先会透过中继站攻击，他们追查到该中继站的IP地址，包含3个香港IP地址与1个中国IP地址，接着，骇客会透过该中继站侵入一家为-提供服务的资讯供应商，因此窃取了-机关提供的VPN账号，之后就能以合法掩护非法的方式，远端登入到-机关网络，伺机取得具管理权限账号，并进行横向扩散。

值得注意的是，调查局资安工作站也发现，骇客在入侵-机关内部的主机与服务器后，为了要长期潜伏以及将获取资料传出，还会偷偷安装SoftEther VPN程式，以连线到骇客指定的C&C中继站。另外，他们也会登入机关内部的网域／目录（AD）服务器，尝试建立具管理权限的网域账号，最后还会清除入侵相关轨迹。

特别的是，在这种攻击模式下，他们还发现有几个案例是这些资讯服务商托管或代管了-的主机，因此在资讯服务供应商遭骇时，这些托管的服务器与主机也可能遭到骇侵。根据他们的调查，一家资讯服务供应商代管某署的5台邮件服务器，就遭植入Webshell后门，因此他们合理怀疑，该单位的6,000多个邮件账号，可能都已经被骇客窃取到需要或必要的资讯。

在第二种模式中，他们发现主要是Blacktech与Taidoor背后的骇客组织所为，骇客一开始也是从-机关委外的资讯服务供应商开始入侵，之后将会控制AD服务器，并借由GPO群组原则将恶意程式派送到每一台电脑。

同时，对方还会骇入一般家用的无线路由器，借此掌控设备并设定VPN连线，以作为受骇主机向中继站报到的跳板。

刘家荣表示，经过他们调查分析，发现受骇主机内藏有Waterbear后门的恶意程式，这是Blacktech骇客组织平常所使用的恶意程式，将使受感染电脑向中继站报到，并以VPN传送窃取资讯。

对此，调查局揭露了从遭骇路由器所查到的11个恶意网域，以及前述攻击的5个IP地址，希望尚未遭受此一攻击的-机关与资讯服务供应商，应尽速阻挡这些恶意网域。

【调查局公布以下恶意网域及IP地址，供国内机关自我检查并加以封锁】
●manage.lutengtw.com　●43.240.12.81
●dccpulic.lutengtw.com　●45.124.25.31
●trust.utoggsv.com　　　●45.124.25.226
●wg1.inkeslive.com　　　●113.193.149.26
●k3ad01.rutentw.com　　●103.240.202.34
●ams05.cksogo.com
●edgekey.whybbot.com
●shed.inkeslive.com
●ap21.gckerda.com
●cornerth.com
●teamcorner.nctu.me

事实上，这次事件相当严重，在调查局揭露的资讯中，他们追查到这些恶意网域后，又再进一步追踪到，发现国内还有许多IP地址连线到该中继站的情形，当中包含市-、水资源局、国立大学等6个公家单位，以及4家资讯服务供应商。

此外，骇客还会借由原先入侵的资讯服务供应商，远端攻击该业者的-机关客户。这是因为供应商的IP地址是-防火墙的白名单，骇客同样是借由合法掩护非法的方式，使得-机关难以发现。对此，调查局也说明他们的发现，在今年3月到4月间，分别有署级机关、司级单位与某市-遭到这样的攻击。

对于委外厂商的远端管理一事需检讨，还要检视VPN的异常登入及阻止被偷装VPN软件

虽然揭露骇客的攻击手法，会让对方更有防备，但如果其他-单位或资讯供应商都不能了解攻击现况，已知的攻击都无法预警、防范，情况将会更严重。

对于近期骇客从供应链下手的威胁态势，调查局提供几项建议，首要的焦点，他们认为，就是要检讨委外资讯服务供应商透过远端进行管理的必要性。由于国内-机关往往可能为了追求便利，提供VPN账号供厂商远端操作与维运，但这些厂商若缺乏资安意识或吝于资安设备投入，甚至未配置资安维运人员，容易形成资安破口。白话一点来说，等于关了大门却开了小门，让骇客有机可趁。

此外，从近期的受骇案件来看，还有一些资安管理上必须重视的问题，像是要能监控AD服务器的软件派送情形，并要有办法能够监控网域账号的异常新增与登入。

机关内部的VPN安全管理，也是这次事件揭露的一大重点，因此调查局也建议，需检视VPN是否有异常登入情形，对于骇客侵入后在主机安装VPN连线网络软件的问题，同样需要留意，毕竟组织内本来就应该不允许安装才是。

其他建议方面，还包括经常检视防毒主机稽核报告，重新审视防火墙规则，限制重要主机的对外连线，以及定期修补IP分享器或路由器的漏洞，以及检视VPN账号与定期更换密码。

刘家荣表示，在这些案例中，由于骇客会将入侵相关轨迹与资料抹除，因此他们调查时无法得知那些资料被窃取，但他强调，当机关内部的服务器及主机被骇侵后，其实当中的资料也都已经被看光光，这样的危害非常大，因此，他们认为，透过调查局公开的资讯与情资，希望还没有遭到攻击的-机关与厂商，应该要针对提供的恶意网域与IP地址去防范，不要让这类攻击继续蔓延，是现在要关心的重点。