【大纪元2020年05月15日讯】(大纪元记者袁世钢台湾台北报导)中油总公司资讯系统、台塑加油站电脑主机日前接续遭骇客入侵,感染恶意勒索病毒,引发国安疑虑。调查局资安站副主任刘家荣15日表示,骇客使用的中继云端主机公司负责人为华裔人士;他也提醒,骇客恐将发动下一波攻击,国内企业应立即针对网路防护机制进行检查。
刘家荣表示, 4日至5日国内共有3家重要能源及科技公司的内部系统、个人电脑及服务器等资讯设备,接连遭勒索软体攻击,造成重要档案均无法开启,使营运受到严重影响,并收到骇客要求交付赎金的电邮。为稳定国内重要能源及科技企业营运、遏止网路犯罪,调查局遂成立专案小组侦办。
经查发现,骇客在数月前透过Web服务器、员工个人电脑、网页等途径,入侵公司内部网路潜伏,窃取特权账号后侵入网域控制服务器(AD),并利用AD的派送功能将勒索加密软体散布至全公司电脑。骇客利用凌晨时段窜改群组原则(GPO)派送工作排程,并预埋lc.tmp恶意程式;当员工上班打开电脑时,会立即套用遭窜改的GPO并自动下载,执行勒索软体。
刘家荣指出,若电脑中的档案遭加密成功,会显示勒索讯息及联络电邮账号。同时,骇客也留有连往境外中继站的后门程式,该中继站为骇客向美国云端主机(VPS)服务提供商“petaexpress.com”所租用,并使用商用渗透工具Cobaltstrike作为远端存取控制器;据了解,“petaexpress.com”的负责人是华裔人士,而该骇客组织为Winnti Group或与其关系密切的骇客,目前已由国外司法单位协查。
然而,刘家荣也提醒,根据情资显示,骇客将在近日针对国内10家企业再度发动攻击,研判遭骇客锁定的10家企业应已遭入侵潜伏长达数月,因此国内企业应立即检查对外网路服务是否存在漏洞或破口,重要主机应关闭远端桌面协定(RDP)功能等;并观察企业VPN有无异常登入行为或遭安装SoftEther VPN及异常网路流量,如异常的DNS Tunneling、异常对国内外VPS的连线等。
此外,国内企业应注意具软体派送功能的系统,如网域/目录(AD)服务器、防毒软体、资产管理系统,尤其是AD服务器的群组原则遭异动、工作排程异常新增等;并更新防毒软体病毒码,留意防毒告警,极可能是大范围感染前之征兆;加强监控网域中特权账号,应限定账号使用范围与登入主机,并建立备份机制,离线保存。
责任编辑:玉珍
