中国骇客的攻击行动频传,我们昨天报导APT41针对赌博及游戏业者中国骇客发动攻击的情况不时传出,近期研究人员揭露多组过往未曾发现的骇客组织,如今有个组织因骇客的作业疏失,而让研究人员有机会一探究竟。
资安研究团队Nao_sec揭露中国骇客组织IcePeony的攻击行动,并推测这些骇客至少从2023年开始活动,针对印度、模里西斯、越南等国家的政府机构、学术单位、政治组织发动网路攻击,根据他们取得的事件记录资料,骇客试图攻击印度各个政府网站的情况相当频繁,有超过200次的记录。
这些骇客会锁定网页伺服器发动SQL注入攻击,一旦找到弱点,就会借此注入Web Shell或恶意程式,其中一种是专门针对IIS伺服器的后门IceCache,最终目的是窃取帐密资料。研究人员认为,这些骇客的攻击意图,很有可能与中国的国家利益有关,尤其优先考虑海洋战略层面的利益。
今年8月上旬日本马达大厂尼得科(Nidec)证实,越南子公司NPCV的网路环境遭到非法入侵,骇客窃取资料并向他们索讨赎金,换取骇客不外流档案。事隔两个月,该公司公布更多细节。
10月17日尼得科表示,他们在8月5日收到骇客的通知,对方声称成功渗透NPCV网路环境,并从伺服器窃得档案,要他们付钱。该公司经过与外部专家进行调查,确实有部分资料被公布在暗网。但他们强调此事发生后,没有出现新的攻击事故,或是档案遭到加密的情形。
究竟事件发生的原因为何?该公司研判骇客是取得员工VPN帐密资料而能得逞。他们已对所有端点电脑进行扫描、重设密码,以及重新审查伺服器的存取权限因应。
10月22日晚间机车零配件厂丰祥发布重大讯息,指出他们当天早上资讯系统遭遇加密攻击,该公司已找出源头并阻断加密行为,目前正著手恢复系统。该公司初步评估,这起事故对公司营运无重大影响。
对于这起资安事故的因应,丰祥资讯团队立即寻求外部资安咨询业者合作,共同进行后续处理及复原作业,并全面强化相关防御机制。该公司未来将持续强化网路与资讯基础架构的管控,以确保资讯安全。
◆◆