調查局近來偵辦數起我政府機關資訊系統遭駭案件,資安工作站副主任劉家榮指出,Blacktech、Taidoor等中國駭客組織,自2018年起已陸續滲透國內中央部會、地方政府等10單位以及4家資訊服務供應商;目前雖然無法得知是否有資料遭竊,但調查局已成立專案小組積極偵辦中。
陸駭客以資訊商為跳板攻擊政府機關
劉家榮表示,政府委外的資訊商負責政府重要資訊系統開發、維運,因此成為駭客主要攻擊目標。政府機關為求便利,常提供遠端連線桌面、VPN登入等機制給資訊商進行遠端操作,但國內廠商大多缺乏資安意識、吝於投入資安防護設備,也未配置資安人員;而政府機關對資訊商也不會設防,中國駭客組織便以資訊商作為跳板攻擊政府機關。
劉家榮以Blacktech的攻擊手法舉例,因多數民眾並不會對路由器設備進行軟體更新或修改預設設定,駭客會先鎖定國內存在尚未修補CVE漏洞的網路路由器,並取得該路由器的控制權作為惡意程式中繼站。同時,駭客也透過政府委外資訊商破解員工VPN帳號密碼、寄送夾帶惡意程式的釣魚郵件入侵中央部會、地方政府系統。
經分析發現,該惡意程式為後門程式Waterbear,受感染的電腦會自動向中繼站報到,並以加密連線的方式傳送竊取資訊。劉家榮說,目前調查已發現有2個市政府、1間國立大學、中央某些部會及1署、1司等10個機關、4家委外資訊商受到攻擊或向中繼站自動回報;另外也有某署由廠商代管的5台電郵伺服器全遭植入網頁型後門程式Webshell,共6千餘個帳號全都遭殃。
機關企業應避免使用遠端操作
此外,劉家榮指出,Waterbear是Blacktech近年常用的惡意程式,並有證據支持其攻擊來自中國湖北;而在受害機關中也發現另外一個中國駭客組織Taidoor的駭侵活動足跡,雖然目前無直接證據能證實這些駭客組織背後是否受中共政府支持,但顯見中國駭客正透過供應鏈攻擊我政府機關,值得社會大眾注意。
劉家榮強調,由於駭客清除了入侵軌跡,導致我方無從得知是否有任何資料遭竊取,但即便沒有資料遭竊,只要被入侵,所有的資料就讓對方一覽無遺。他也呼籲,各政府單位與企業組織應留意內部可疑的網駭活動,並避免向系統維護委外商提供遠端操作模式,或使用多因子認證方式,以降低被駭客入侵的風險。◇