文章提供:圖文資通組
文章來源:https://www.ithome.com.tw/news/142123
發佈日期:2021.01.13
消息來源:iThome
利用產業共通系統或平臺的漏洞入侵企業的手法層出不窮,2020年臺灣爆發多起鎖定製造業的攻擊,攻擊手法除了威脅以勒索軟體加密企業的系統和磁碟的目標式勒索攻擊(Target Ransom)外,也有鎖定製造業的目標式DDoS(Target DDoS)攻擊,甚至有傳出駭客發動DDoS攻擊的目的,在於癱瘓製造業的供應鏈平臺,對方可能認為,唯有威脅受害者將遭受到實際損失,受害企業才可能願意支付贖金,而駭客鎖定製造的攻擊手法,不論是目標式勒索或者是目標式DDoS,即便到2021年仍不會消退。
目標式勒索攻擊透過RDP等弱點,入侵企業並勒索高額贖金
利用勒索軟體加密資料,然後威脅受害者支付贖金的手法,從WannaCry勒索軟體之後,這種恐嚇取財的手法一直沒有消失,但不同的是,早期包括WannaCry在內的勒索軟體,鎖定對象是一般個人使用者,即便受害者是企業,通常也都是個人電腦端漏洞未修補造成。
但是,從去年5月起,石油公司、自動化設備業者、半導體封測業者、PCB業者,以及穿戴式大廠等,都爆發遭駭客以勒索軟體加密企業資料,並提出高額贖金要求的受駭事件。
趨勢科技全球核心技術部資深協理張裕敏表示,上述資安事件可以稱之為目標式勒索攻擊,若進一步分析駭客攻擊手法,通常是利用網路、RDP(遠端桌面協定),以及VPN(虛擬私有通道)的弱點,或者是利用釣魚郵件的方式,入侵並潛伏在企業內部,主要是鎖定AD目錄服務伺服器並在特定的時間點散布大量的勒索軟體,目的在於加密AD伺服器等重要的主機內容,駭客可以趁機跟企業勒索高額贖金,一旦企業不願意支付贖金,這些駭客也會威脅要將企業資料公開在網路上,或者是將加密資料先備份一份後,等到企業因為沒有備份資料導致無法復原相關資料時,駭客便可以趁機要求企業支付勒索贖金。他也發現,很多開發者常用的程式代管平臺,例如GitHub、GitLab等,也都成為駭客儲存從企業偷來資料的管道。
穿戴式大廠在7月傳出遭到駭客加密並勒索高達3億元贖金後,在11月9日也傳出電腦組裝業者遭到駭客組織DoppelPaymer勒索高額贖金,雖然該業者對外公開不是遭到勒索軟體攻擊,而是網路系統有問題,不過,區塊鏈資安業者Xrex創辦人黃耀文則是在11月19日觀察到,上述駭客傳出的區塊鏈勒索錢包中,發現有人存入28.3顆的比特幣(約50萬美元),反洗錢業者CipherTrace也進行金流分析發現,這些存入的比特幣是透過場外交易市場(Over the Counter,OTC)的方式購買,但無法確定該比特幣是否為電腦組裝業者支付贖金。
而根據安碁資訊技術副總黃瓊瑩的觀察,他發現,有些駭客組織鎖定臺灣高科技業者,他們通常會找到有弱點的網站來突破,像是具有上傳檔案功能的網站則是被攻擊大宗,而多數防毒軟體幾乎無法順利偵測到這些上傳檔案網站的惡意Web Shell;其他常見的攻擊標的,則有舊系統忘記下線、測試用主機沒有適當防護,或忘記下線的不設防無主主機,也是駭客最愛鎖定攻擊的對象之一。
他繼續指出,駭客藉此入侵企業內部後,可以透過側錄密碼或橫向移動的方式,找到高權限使用者的帳號密碼,例如AD伺服器的Administrator,甚至有機會控制單位最高權限的Domain Controller(DC);當駭客順利掌握該公司後,也會在企業內部安裝VPN軟體,留下未來回到企業內部的管道。一旦駭客順利掌握受駭企業的高權限使用者,就可以發動地毯式攻擊,不管是潛伏企業內部或控制企業重要的伺服器,全都在駭客一念之間。「這樣的攻擊方式,即便到2021年,也都是很有效的攻擊手法,不見消退。」黃瓊瑩說道。
駭客發動目標式DDoS,臺灣業者曾遭8小時100Gbps流量攻擊
2020年上半年,傳出多家高科技製造業遭駭客以勒索軟體加密,並要求高額贖金的資安事件,不過,在下半年有駭客組織威脅臺灣的製造業者,若不支付贖金,將會發動DDoS攻擊,主要攻擊的標的除了這些公司的官網,也傳出駭客鎖定攻擊更有價值的高科技業者的供應鏈下單平臺,透過癱瘓這些系統,讓高科技業者遭到損失後,更願意支付贖金。
根據不具名消息來源指出,在中秋連假附近,9月26日有系統整合業者接到自稱是Fancy Bear駭客組織的勒索信件,要求業者要支付10個比特幣(約新臺幣300萬元),否則一週後將再度發動DDoS攻擊。 該公司隨即遭到第一次DDoS攻擊,但一週後的二度攻擊沒有發生。
在國慶連假期間的10月9日,也有系統整合業者遭到類似的DDoS勒索信件,要求支付20個比特幣(約新臺幣600萬元),同時間,也有主機板業者收到同樣的勒索信件;到了10月底,先前10月上旬接到勒索信件的系統整合業者,則遭到持續8小時、攻擊流量高達100Gbps~105Gbps的DDoS攻擊;11月初,也傳出有零組件業者遭到二度DDoS攻擊,但該次並沒有收到勒索信件。
對於臺灣製造業遭到的目標式DDoS攻擊,黃瓊瑩指出,駭客都會先透過公開資訊,獲得企業的聯繫窗口,如公關、人資、投資人聯繫窗口或客服等,寄送勒索郵件。基本上,攻擊者都會先發動試打行動,以取信於受害企業。他表示,駭客試打流量大約是1Gbps,對於企業對外網路,已經會面臨明顯的停頓或中斷狀況;駭客也會透過網際網路取得受攻擊企業的AS Number(自治系統號碼)作為攻打標的,這通常是企業轄下一個很大的網段。
他進一步說道,駭客試打後,都會宣稱下一波正式攻擊的火力會達到2Tbps到2.5Tbps規模,但實際上,安碁協防的客戶有截獲駭客試打過程的真實記錄,但沒有遇到真正的大規模攻擊,而試打的攻擊來源大部分來自俄羅斯與東歐(俄羅斯、白俄羅斯、烏茲別克、哈薩克),另有其他較少量攻擊來自歐(英國、荷蘭)、美、香港與臺灣,其中臺灣被利用的攻擊來源是IP Camera。