对于国内-组织内资讯委外的安全问题,今日(19日)法务部调查局资安工作站发出警示,指出近来他们侦办数起-机关遭骇案件中,发现-单位及其资讯服务供应商遭中国骇客组织渗透的问题严重,最新发现至少有10个-单位,以及4家资讯服务供应商都已经受到攻击。
对于有那些-单位与业者遭骇的问题,调查局资安工作站副主任刘家荣表示,基于调查不公开的作业原则,他们并不会透露,但他们呼吁,尚未遭受攻击的单位与业者,都应以此为鉴,同时资安工作站提供了相关情资与建议,希望能避免这波攻击下会出现更多受害者。
承包-标案的供应链厂商成资安破口,调查局归纳出近期两种骇客攻击模式
对于台湾-单位遭骇的现况,刘家荣表示,他们从最近侦办的数起案件,归纳出近期骇客攻击的两种模式。
例如,在第一种模式中,由于骇客清楚国内-单位资讯委外的习惯,例如,-机关会提供VPN账号供资讯服务供应商进行远端操作与维运,因此,骇客便从该单位的委外厂商入侵。
调查局并剖析了入侵过程,刘家荣表示,以MustangPanda与APT40骇客组织为例,在他们的侦办调查结果发现,对方首先会透过中继站攻击,他们追查到该中继站的IP地址,包含3个香港IP地址与1个中国IP地址,接着,骇客会透过该中继站侵入一家为-提供服务的资讯供应商,因此窃取了-机关提供的VPN账号,之后就能以合法掩护非法的方式,远端登入到-机关网络,伺机取得具管理权限账号,并进行横向扩散。
值得注意的是,调查局资安工作站也发现,骇客在入侵-机关内部的主机与服务器后,为了要长期潜伏以及将获取资料传出,还会偷偷安装SoftEther VPN程式,以连线到骇客指定的C&C中继站。另外,他们也会登入机关内部的网域/目录(AD)服务器,尝试建立具管理权限的网域账号,最后还会清除入侵相关轨迹。
特别的是,在这种攻击模式下,他们还发现有几个案例是这些资讯服务商托管或代管了-的主机,因此在资讯服务供应商遭骇时,这些托管的服务器与主机也可能遭到骇侵。根据他们的调查,一家资讯服务供应商代管某署的5台邮件服务器,就遭植入Webshell后门,因此他们合理怀疑,该单位的6,000多个邮件账号,可能都已经被骇客窃取到需要或必要的资讯。
在第二种模式中,他们发现主要是Blacktech与Taidoor背后的骇客组织所为,骇客一开始也是从-机关委外的资讯服务供应商开始入侵,之后将会控制AD服务器,并借由GPO群组原则将恶意程式派送到每一台电脑。
同时,对方还会骇入一般家用的无线路由器,借此掌控设备并设定VPN连线,以作为受骇主机向中继站报到的跳板。
刘家荣表示,经过他们调查分析,发现受骇主机内藏有Waterbear后门的恶意程式,这是Blacktech骇客组织平常所使用的恶意程式,将使受感染电脑向中继站报到,并以VPN传送窃取资讯。
对此,调查局揭露了从遭骇路由器所查到的11个恶意网域,以及前述攻击的5个IP地址,希望尚未遭受此一攻击的-机关与资讯服务供应商,应尽速阻挡这些恶意网域。
【调查局公布以下恶意网域及IP地址,供国内机关自我检查并加以封锁】
●manage.lutengtw.com ●43.240.12.81
●dccpulic.lutengtw.com ●45.124.25.31
●trust.utoggsv.com ●45.124.25.226
●wg1.inkeslive.com ●113.193.149.26
●k3ad01.rutentw.com ●103.240.202.34
●ams05.cksogo.com
●edgekey.whybbot.com
●shed.inkeslive.com
●ap21.gckerda.com
●cornerth.com
●teamcorner.nctu.me
事实上,这次事件相当严重,在调查局揭露的资讯中,他们追查到这些恶意网域后,又再进一步追踪到,发现国内还有许多IP地址连线到该中继站的情形,当中包含市-、水资源局、国立大学等6个公家单位,以及4家资讯服务供应商。
此外,骇客还会借由原先入侵的资讯服务供应商,远端攻击该业者的-机关客户。这是因为供应商的IP地址是-防火墙的白名单,骇客同样是借由合法掩护非法的方式,使得-机关难以发现。对此,调查局也说明他们的发现,在今年3月到4月间,分别有署级机关、司级单位与某市-遭到这样的攻击。
对于委外厂商的远端管理一事需检讨,还要检视VPN的异常登入及阻止被偷装VPN软件
虽然揭露骇客的攻击手法,会让对方更有防备,但如果其他-单位或资讯供应商都不能了解攻击现况,已知的攻击都无法预警、防范,情况将会更严重。
对于近期骇客从供应链下手的威胁态势,调查局提供几项建议,首要的焦点,他们认为,就是要检讨委外资讯服务供应商透过远端进行管理的必要性。由于国内-机关往往可能为了追求便利,提供VPN账号供厂商远端操作与维运,但这些厂商若缺乏资安意识或吝于资安设备投入,甚至未配置资安维运人员,容易形成资安破口。白话一点来说,等于关了大门却开了小门,让骇客有机可趁。
此外,从近期的受骇案件来看,还有一些资安管理上必须重视的问题,像是要能监控AD服务器的软件派送情形,并要有办法能够监控网域账号的异常新增与登入。
机关内部的VPN安全管理,也是这次事件揭露的一大重点,因此调查局也建议,需检视VPN是否有异常登入情形,对于骇客侵入后在主机安装VPN连线网络软件的问题,同样需要留意,毕竟组织内本来就应该不允许安装才是。
其他建议方面,还包括经常检视防毒主机稽核报告,重新审视防火墙规则,限制重要主机的对外连线,以及定期修补IP分享器或路由器的漏洞,以及检视VPN账号与定期更换密码。
刘家荣表示,在这些案例中,由于骇客会将入侵相关轨迹与资料抹除,因此他们调查时无法得知那些资料被窃取,但他强调,当机关内部的服务器及主机被骇侵后,其实当中的资料也都已经被看光光,这样的危害非常大,因此,他们认为,透过调查局公开的资讯与情资,希望还没有遭到攻击的-机关与厂商,应该要针对提供的恶意网域与IP地址去防范,不要让这类攻击继续蔓延,是现在要关心的重点。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09