部分骇客行事低调,长年窃取受害组织机密,直到多年后才有研究人员对其行踪有较为明确的分析,并引起外界的注意。
例如,资安业者AhnLab与韩国国家网路安全中心(NCSC)近期对于与中国有关的骇客组织TA-ShadowCricket(Shadow Force)进行揭露,就是这样的例子,值得留意的是,骇客广泛于全球入侵逾2千台伺服器,植入IRC机器人或后门程式,台湾也有44台主机受害。
【攻击与威胁】
近期有部分鲜为人知的中国骇客遭到资安研究人员起底,其中不少攻击范围涵盖台湾,引起国内媒体高度关注。
根据自由时报、ETtoday新闻云等多家媒体的报导,资安业者AhnLab与韩国国家网路安全中心(NCSC)联手,针对与中国有关、名为TA-ShadowCricket、Shadow Force的骇客组织,揭露相关攻击行动的长期调查结果。这些骇客约从2012年开始活动,积极对亚太地区国家下手,通常会针对曝露在网际网路的Windows Server主机,或是管理不善的SQL Server而来,植入IRC机器人或后门程式。
而对于这些骇客控制的范围,迄今骇客于全球72个国家、超过2千个IP位址,部署IRC伺服器并充当C2。其中,受影响最严重的国家是中国、韩国,分别有895台、457台主机,值得留意的是,台湾也有44台伺服器遭到这些骇客控制。AhnLab也在调查报告当中,提及TA-ShadowCricket伪造或盗用数家软体厂商凭证签署恶意软体的现象,其中一家是台湾软体业者讯连科技(CyberLink),骇客于2012年曾伪造该公司凭证为恶意软体签章。
提供中小企业及SOHO族使用的网路设备,即使厂商因生命周期结束(EOL)不再提供修补,用户往往因为仍然能够运作,并未汰换而是继续使用,这样的情况也变成骇客眼中的肥羊,且有越来越多设备遭到控制。
例如,最近资安业者Sekoia对于追踪思科路由器漏洞CVE-2023-20118的攻击行动,揭露最新的发展,他们原本在今年1月底至2月上旬,发现有人利用这项漏洞,绑架思科的小型路由器设备,组成僵尸网路PolarEdge,当时已有逾2千台设备受害,如今研究人员发现,还有其他骇客组织也加入漏洞利用行列:中国骇客ViciousTrap已借此绑架超过5千台路由器,并在这些路由器植入Shell指令码NetGhost,然后将流入的网路流量导向类似蜜罐陷阱(Honeypot)的基础设施。
但前述思科路由器并非骇客的唯一目标。Sekoia研究人员进一步对骇客的基础设施调查,结果发现,他们也锁定D-Link、Linksys、华硕、威联通(QNAP),以及Araknis Networks等厂牌的网路设备。
根据科技新闻网站Techcrunch报导,资安业者卡巴斯基前员工向他们透露,11年前被视为世界上最狡猾的骇客攻击行动,幕后主使者就是西班牙政府。卡巴斯基、西班牙国防部拒绝回应此事。
2014年卡巴斯基发现进阶渗透攻击(APT)行动,锁定政府机关和能源企业,包括外交办公室、大使馆、能源或石油企业,目的在窃取机密资料如文件、加密金钥、VPN配置等。经过分析,研究人员将犯案的骇客组织称为Careto或The Mask,这是因为他们在其程式码中发现到Careto(西班牙语中的面具之意)的字样。
至少有4名卡巴斯基前员工指认,Careto背后的主谋是西班牙政府,其中一名员工透露,卡巴斯基调查Careto的动机,就是源自骇客攻击古巴政府特定的网路环境,此受害政府机关是「零号病人(Patient Zero)」,也是将Careto与西班牙当局关连的重要关键。
其他攻击与威胁
生成式AI广泛受到开发者运用,一旦这类应用程式出现弱点,就有可能遭到利用,借此影响软体开发安全。
根据资安业者Legit Security的研究,AI助理GitLab Duo有资安弱点,攻击者可借由埋入的注解,导致GitLab Duo泄露开发人员处理的程式原始码,并且在回应里注入不受信任的HTML内容。研究人员于2月12日通报此事,GitLab已进行确认并完成修补。
而Legit Security在这款人工智慧助理当中,发现远端提示注入漏洞,攻击者只要透过Duo Chat,就能从私人专案窃取原始码、窜改程式码建议并显示给其他用户,甚至还可以泄露机密资讯,或是零时差漏洞。
任职于半导体公司财务与人资主管郑惠如(RuRu Cheng),她日前在「台湾资安大会」Cyber Talent Forum的演讲中,以逾十年的财务人资经验及资安领域的跨界视角,深入剖析为何人资和财务部门必须重视资安意识与相关证照,以及对于个人职涯和企业安全所带来的深远影响。