攻击政府骇客源头查到了 调查局揪出境外骇客攻台资讯供应链

调查局资安站副主任刘家荣说明骇客攻击政府机关方式。（张孝义摄）

2018年起陆续发生政府机关被骇客入侵攻击案，调查局19日表示，经资安工作站调查，骇客来自境外，利用政府机关提供远端连线桌面、VPN登入等机制进行攻击；资安站并公布manage.lutengtw.com等恶意网域，供国内机关自我检查并加以封锁。

资安站副主任刘家荣表示，资安站发现包括经济部投审会、水利署水资源局、台北市政府等10个政府机关被骇客入侵攻击，试图窃取机敏资讯及民众个人资料，溯源追查发现攻击来自境外的骇客组织，包括MustangPanda、APT40及Blacktech与Taidoor等骇客组织。

资安站调查发现，被攻击的政府机关都有将资讯业务委外发包给资讯厂商承作，MustangPanda等骇客组织利用窃取VPN帐密登入攻击，或入侵供应链厂商，甚至利用家用路由器资安防护较低的特性，攻击控制后当作入侵供应链厂商的跳板。

由于骇客组织深知政府机关为求便利，常提供远端连线桌面、VPN登入等机制，提供委外资讯服务厂商进行远端操作与维运，而且国内厂商大多缺乏资安意识与吝于投入资安防护设备，也没有配置资安人员，故形成资安破口，让骇客有机可乘。

资安站表示，以主要活动在东南亚地区的Blacktech骇客组织为例，骇客先锁定国内存在尚未修补的CVE漏洞的网路路由器设备，因多数民众未对设备做韧体更新或修改预设设定，所以遭骇客利用这些CVE弱点取得路由器控制权作为恶意程式中继站，并以另一途径攻击国内资讯服务供应商或政府机关的对外服务网站、破解员工VPN帐号密码及寄送带有恶意程式的钓鱼邮件等，成功渗透内部网路后，利用模组化恶意程式进行横向移动。

资安站表示，经分析恶意程式为Waterbear后门程式，受感染电脑会向中继站报到并以加密连线的方式传送窃取资讯；另外，骇客为能以多途径方式持续取得受骇单位内部网路控制权，也在受骇单位内部伺服器安装VPN连线软体，如SoftEtherVPN，其亦可以被利用来对外向其他单位进行攻击或存取网页型后门(Webshell)进行窃资。

资安站并公布了11个恶意网域，供国内机关自我检查并加以封锁，同时加强资安防护；这11个恶意网域为manage.lutengtw.com、dccpulic.lutengtw.com、trust.utoggsv.com、wg1.inkeslive.com、k3ad01.rutentw.com、ams05.cksogo.com、edgekey.whybbot.com、shed.inkeslive.com、ap21.gckerda.com、cornerth.com、teamcorner.nctu.me。