【大纪元2020年08月19日讯】(大纪元记者袁世钢台湾台北报导)台调查局近来侦办数起台湾政府机关资讯系统遭骇案件,资安工作站副主任刘家荣指出,Blacktech、Taidoor等中国骇客组织,自2018年起已陆续渗透国内中央部会、地方政府等10单位以及4家资讯服务供应商;目前虽然无法得知是否有资料遭窃,但调查局已成立专案小组积极侦办中。
陆骇客以资讯商为跳板攻击政府机关
刘家荣表示,政府委外的资讯商负责政府重要资讯系统开发、维运,因此成为骇客主要攻击目标。政府机关为求便利,常提供远端连线桌面、VPN登入等机制给资讯商进行远端操作,但国内厂商大多缺乏资安意识、吝于投入资安防护设备,也未配置资安人员;而政府机关对资讯商也不会设防,中国骇客组织便以资讯商作为跳板攻击政府机关。
刘家荣以Blacktech的攻击手法举例,因多数民众并不会对路由器设备进行软体更新或修改预设设定,骇客会先锁定国内存在尚未修补CVE漏洞的网路路由器,并取得该路由器的控制权作为恶意程式中继站。同时,骇客也透过政府委外资讯商破解员工VPN账号密码、寄送夹带恶意程式的钓鱼邮件入侵中央部会、地方政府系统。
经分析发现,该恶意程式为后门程式Waterbear,受感染的电脑会自动向中继站报到,并以加密连线的方式传送窃取资讯。刘家荣说,目前调查已发现有2个市政府、1间国立大学、中央某些部会及1署、1司等10个机关、4家委外资讯商受到攻击或向中继站自动回报;另外也有某署由厂商代管的5台电邮服务器全遭植入网页型后门程式Webshell,共6千余个账号全都遭殃。
机关企业应避免使用远端操作
此外,刘家荣指出,Waterbear是Blacktech近年常用的恶意程式,并有证据支持其攻击来自中国湖北;而在受害机关中也发现另外一个中国骇客组织Taidoor的骇侵活动足迹,虽然目前无直接证据能证实这些骇客组织背后是否受中共政府支持,但显见中国骇客正透过供应链攻击我政府机关,值得社会大众注意。
刘家荣强调,由于骇客清除了入侵轨迹,导致台湾方面无从得知是否有任何资料遭窃取,但即便没有资料遭窃,只要被入侵,所有的资料就让对方一览无遗。他也呼吁,各政府单位与企业组织应留意内部可疑的网骇活动,并避免向系统维护委外商提供远端操作模式,或使用多因子认证方式,以降低被骇客入侵的风险。◇
责任编辑:玉珍
