多位立法委員辦公室於20日收到假冒總統府名義寄發的釣魚郵件,刑事局初步調查發現釣魚網站IP來自烏克蘭;而刑事局29日進一步指出,該郵件是透過一家美國郵件服務公司位在澳洲的伺服器所寄發;且德國資安公司「Nextron Systems」已將此次攻擊模式定義為「中國攻擊臺灣政府」。
總統府20日發布聲明表示,傍晚有多名立法委員辦公室的電子信箱均收到假冒總統府名義所發出的信件。經刑事局調查發現,郵件內容要求收信人填寫會議議程表,並內含釣魚網站連結,且在釣魚網站內夾藏惡意程式,如點擊下載開啟該檔案,電腦恐遭安裝木馬程式;經追查來源發現,該釣魚網站主機位於烏克蘭境內的一家雲端服務公司。
而刑事局科技犯罪防制中心主任林建隆進一步說明,發送該郵件的主機來自美國一間提供郵件服務的公司,但伺服器位置卻是在澳洲。而根據德國一間資安公司「Nextron Systems」半公開的「網路攻擊偵測規則」指出,此攻擊事件的模式為「中國攻擊臺灣政府」;刑事局雖無掌握關鍵證據,但研判攻擊來源與Nextron Systems所分析的結果相同。
林建隆也補充說,該釣魚網站夾藏的是一種稱為「Downloader」的惡意程式,若不慎點擊下載後,該程式會自動在網路上下載其他惡意程式,並進行後續攻擊。而經分析蒐集到的惡意程式樣本、網站IP後發現,該惡意程式的編寫方式、攻擊模式都與今年4月曾攻擊境外對象的某一駭客團體相同,而其網址、網域名稱、惡意程式檔案命名都與本案極為相似。
林建隆強調,刑事局目前正向提供駭客集團電郵服務的美國電子郵件服務公司調閱相關資料,進一步追查駭客身分。◇