經濟部投審會等10個政府機關,從2018年起陸續發生駭客入侵攻擊案,調查局19日表示,經長時間溯源調查,攻擊政府機關的駭客來自大陸,利用政府機關提供遠端連線桌面、虛擬私人網路(VPN)登入等機制,植入惡意程式進行攻擊,調查局並公布manage.lutengtw.com等11個惡意網域,供國內機關檢查、封鎖,呼籲機關要加強資安防護。
外包浮濫 省成本輕忽防護
調查局資安站分析被攻擊的政府機關,發現一個共同特點,機關內的資訊工作,包括軟體開發或網站維護等,都委外承包,雖然節省了預算,但廠商將本求利,在節省成本的考量下,輕忽了資安維護,給了駭客可乘之機,找到漏洞進行攻擊。
駭客組織很清楚政府機關為求便利,常提供遠端連線桌面、VPN登入等機制,提供給委外資訊服務廠商進行遠端操作與維運,且國內廠商大多缺乏資安意識與吝於投入資安防護設備,也沒有配置資安人員,所以形成資安破口,讓駭客有機可乘,最後「毀屍滅跡」,清除掉所有入侵的相關軌跡。
資安站副主任劉家榮表示,溯源追查發現攻擊來自大陸的駭客,包括MustangPanda、APT40及Blacktech、Taidoor等4個駭客組織,手法大致可分為2類,MustangPanda、APT40主要是竊取VPN帳密,入侵機關內部主機或伺服器,植入SoftEtherVPN等惡意程式「鳩佔鵲巢」成為具有管理權限的帳號,再攻擊資訊廠商代管政府機關的網站、郵件伺服器。
Blacktech、Taidoor的攻擊手法更惡劣,先鎖定台灣還沒修補CVE漏洞的網路路由器設備,利用家用路由器資安防護微弱,取得路由器控制權作為惡意程式中繼站,再攻擊國內資訊服務供應商或政府機關的對外服務網站,成功滲透內部網路後大量竊取資料傳輸到駭客組織。
溯源調查 追出4個攻擊組織
調查局強調,目前已經查獲的惡意網域,包括manage.lutengtw.com、dccpulic.lutengtw.com等11個。資安站將這些惡意網域公布,供國內機關自我檢查並加以封鎖避免進入惡意網域。
(中國時報/張孝義)