台湾在今年五月爆发中油、台塑以及科技公司力成科技等公司，先后遭到骇客以勒索软件加密勒索的资安事件。台湾调查局追查到中继站以及恶意程式资讯后，则立刻提供给美国联邦调查局进行调查，美国司法部也于八月起诉相关的网络骇客。台美合作细节因为涉及美国司法调查程序，一切必须在9月16日之后才能对外解密。

台美联手追查APT41骇客组织，跨国捍卫数位国土安全

调查局资安工作站副主任刘家荣表示，台湾与美国在科技防骇上有合作关系，五月台湾爆发类似案件且调查局追查到相关中继站且掌握相关恶意程式后，提供美国加州云端主机（VPS）资讯给美国司法部门，并于八月起诉五名疑似APT41的中国籍骇客，以及二名涉案的马来西亚业者。刘家荣说，因为这起台美调查合作牵涉到美国的司法调查程序，台湾必须在9月16日之后才能对外解密相关内容。

调查局局长吕文忠致词表示，这些骇客集团发动的攻击方式和目的已经和以往不同，不仅是个人或少数人的犯罪行为，现今更已经转变成分工精细的跨国犯罪集团；因为网络无国界，各国执法机关更需要密切合作，才能有效遏止并侦办这些跨国骇客集团。他也说，调查局也将持续发挥“主动侦查、打击犯罪”的能力，展开公私协力及跨国合作，共同捍卫数位国土安全。

美方FBI驻台联络官Nicholas J. Garci 也亲临调查局共同召开记者会，并引述FBI副局长鲍迪奇发言指出：“我们要让骇客及网络犯罪者付出代价，而最好的方式就是统合我们的能量，并持续向全球拓展合作关系。”

APT41就是中国骇客组织Winnti，假借成都404网络公司合法掩饰非法

APT41这个骇客组织就是大家熟悉的中国骇客组织Winnti Group，也有其他别名称之为又被称为Barium、Winnti、Wicked Panda、Wicked Spider。

刘家荣引述美方的调查资料指出，APT41利用中国四川省成立的“成都404网络公司”作为掩护，除了开发骇客工具及恶意程式外，更针对全球-机关、通讯及科技业、学术研究机构、医疗机构及电玩游戏产业等全球超过一百家企业发动网络攻击及间谍活动，受害企业散布台湾、新加坡、马来西亚、日本、韩国、泰国、越南、巴西和澳洲等，攻击活动则包括：非法入侵他人主机、窃取机敏资料以及进行电信诈欺等，其中则以发动供应链攻击带来的影响范围最深远。

刘家荣表示，APT41这个骇客组织与中国国安单位有密切联络，并在今年五月，锁定台湾关键基础设施业者以及高科技业者发动攻击，攻击手法主要是先透过Web服务器、员工电脑等途径，进入公司内部进行潜伏及刺探 ；再者，则透过窃取特权账号后入侵AD服务器，并利用AD服务器的派送功能，将勒索软件派送到全公司的电脑进行加密。

第三，回报位于美国境内的VPS云端主机的中继站；第四，骇客则利用凌晨期间，窜改公司群组原则（GPO），透过工作排程将勒索软件 lc.tmp程式，派送到公司内部服务器和电脑；第五，当员工上班打开电脑后，电脑就会立即套用群组原则并下载工作排程，会在设定的时间内，透过PowerShell将lc.tmp恶意程式载入内存执行；最后，企业电脑和服务器被加密后，则会显示勒索讯息和联络电子信箱，骇客留下的勒索讯息指出“一台电脑赎金是三千美元”。

美国司法部起诉APT41骇客组织中的五名中国籍骇客，刘家荣表示，在美方的调查中发现，中国-默许这些骇客的网络攻击行为并提供相关司法保护，因此，调查局呼吁“不应该默许、支持或保护任何不法骇侵攻击行为，应该公正采取适切的司法制裁，避免成为网络骇侵者的避风港，应该遵循正常且合法的网络规范，共同维护全球网络环境的安全与秩序。”

调查局资安工作站副主任刘家荣表示，今年五月骇客组织APT41对台湾中油、台塑和力成科技等业者发动攻击，利用勒索软件加密系统和资料，也要求每台电脑三千美元的赎金。台湾调查局在掌握恶意程式和相关中继站的资料后，也立即提供给美国调查局联手打击APT41，美国司法部也于八月正式起诉五名APT41网军和二名马来西亚业者。照片提供：调查局