资安破洞 陆骇客入侵 10政府机关被看光 调查局示警 快封锁11恶意网域
政府机关遭大陆骇客入侵,调查局昨日指出,这些机关的共同点是资讯工作都委外,但厂商却轻忽资安的重要性,给了骇客漏洞攻击。图为民间企业宣导资安意识的画面。(本报资料照片)
经济部投审会等10个政府机关,从2018年起陆续发生骇客入侵攻击案,调查局19日表示,经长时间溯源调查,攻击政府机关的骇客来自大陆,利用政府机关提供远端连线桌面、虚拟私人网路(VPN)登入等机制,植入恶意程式进行攻击,调查局并公布manage.lutengtw.com等11个恶意网域,供国内机关检查、封锁,呼吁机关要加强资安防护。
调查局资安站分析被攻击的政府机关,发现一个共同特点,机关内的资讯工作,包括软体开发或网站维护等,都委外承包,虽然节省了预算,但厂商将本求利,在节省成本的考量下,轻忽了资安维护,给了骇客可乘之机,找到漏洞进行攻击。
骇客组织很清楚政府机关为求便利,常提供远端连线桌面、VPN登入等机制,提供给委外资讯服务厂商进行远端操作与维运,且国内厂商大多缺乏资安意识与吝于投入资安防护设备,也没有配置资安人员,所以形成资安破口,让骇客有机可乘,最后「毁尸灭迹」,清除掉所有入侵的相关轨迹。
资安站副主任刘家荣表示,溯源追查发现攻击来自大陆的骇客,包括MustangPanda、APT40及Blacktech、Taidoor等4个骇客组织,手法大致可分为2类,MustangPanda、APT40主要是窃取VPN帐密,入侵机关内部主机或伺服器,植入SoftEtherVPN等恶意程式「鸠占鹊巢」成为具有管理权限的帐号,再攻击资讯厂商代管政府机关的网站、邮件伺服器。
Blacktech、Taidoor的攻击手法更恶劣,先锁定台湾还没修补CVE漏洞的网路路由器设备,利用家用路由器资安防护微弱,取得路由器控制权作为恶意程式中继站,再攻击国内资讯服务供应商或政府机关的对外服务网站,成功渗透内部网路后大量窃取资料传输到骇客组织。
溯源调查 追出4个攻击组织
调查局强调,目前已经查获的恶意网域,包括manage.lutengtw.com、dccpulic.lutengtw.com等11个。资安站将这些恶意网域公布,供国内机关自我检查并加以封锁避免进入恶意网域。