資安破洞 陸駭客入侵 10政府機關被看光 調查局示警 快封鎖11惡意網域

政府機關大陸駭客入侵,調查局昨日指出,這些機關的共同點資訊工作都委外,但廠商卻輕忽資安重要性,給了駭客漏洞攻擊。圖爲民間企業宣導資安意識畫面。(本報資料照片

經濟部投審會等10個政府機關,從2018年起陸續發生駭客入侵攻擊案,調查局19日表示,經長時間溯源調查,攻擊政府機關的駭客來自大陸,利用政府機關提供遠端連線桌面、虛擬私人網路(VPN)登入等機制植入惡意程式進行攻擊,調查局並公佈manage.lutengtw.com等11個惡意網域,供國內機關檢查封鎖,呼籲機關要加強資安防護。

外包浮濫 省成本輕忽防護

調查局資安站分析被攻擊的政府機關,發現一個共同特點,機關內的資訊工作,包括軟體開發或網站維護等,都委外承包,雖然節省了預算,但廠商將本求利,在節省成本的考量下,輕忽了資安維護,給了駭客可乘之機,找到漏洞進行攻擊。

駭客組織很清楚政府機關爲求便利,常提供遠端連線桌面、VPN登入等機制,提供給委外資訊服務廠商進行遠端操作與維運,且國內廠商大多缺乏資安意識與吝於投入資安防護設備,也沒有配置資安人員,所以形成資安破口,讓駭客有機可乘,最後「毀屍滅跡」,清除掉所有入侵的相關軌跡

資安站副主任劉家榮表示,溯源追查發現攻擊來自大陸的駭客,包括MustangPanda、APT40及Blacktech、Taidoor等4個駭客組織,手法大致可分爲2類,MustangPanda、APT40主要是竊取VPN帳密,入侵機關內部主機或伺服器,植入SoftEtherVPN等惡意程式「鳩佔鵲巢」成爲具有管理權限帳號,再攻擊資訊廠商代管政府機關的網站、郵件伺服器。

Blacktech、Taidoor的攻擊手法更惡劣,先鎖定臺灣還沒修補CVE漏洞的網路路由器設備,利用家用路由器資安防護微弱,取得路由器控制權作爲惡意程式中繼站,再攻擊國內資訊服務供應商或政府機關的對外服務網站,成功滲透內部網路後大量竊取資料傳輸到駭客組織。

溯源調查 追出4個攻擊組織

調查局強調,目前已經查獲的惡意網域,包括manage.lutengtw.com、dccpulic.lutengtw.com等11個。資安站將這些惡意網域公佈,供國內機關自我檢查並加以封鎖避免進入惡意網域。