该公司指出,人力资源(HR)团队其实相当尽力进行相关的检查,他们在不同场合安排了4次视讯会议面试,并尽可能确认应征者是履历当中的本人,而且,该团队也进行身家调查,以及执行就职前的其他标准审查流程。然而,对方虽然是真实人物,但滥用遭窃的美国公民身分,并使用Deepfake手法,透过AI「强化」照片。
在该公司的EDR系统侦测到异状并向资安营运中心(SOC)发出警讯,SOC向该名新员工询问是否需要协助。在此同时,该公司也向资安业者Mandiant、美国联邦调查局(FBI)共享收集到的资料与初步的调查结果,从而确认这是来自北韩的假IT人员。
资安业者CrowdStrike于7月19日因为EDR软体更新出包,造成许多微软电脑和伺服器出现蓝色当机画面(BSOD)。也有匿名高科技制造业资安主管表示,勒索软体做不到的事情(企业电脑大规模当机),CrowdStrike做到了。另外也有不少Line资安群组,纷纷以CrowdStrike官网「62分钟就能让您的企业停止运作」的网路页面,反讽CrowdStrike真的做到让企业停止运作了。
盘点过台湾CrowdStrike引发的电脑当机灾情后,有许多资安长坦言,采用云端服务的趋势不可逆,对于已经是CrowdStrike的用户并发生大规模灾情,有高科技业资安主管已经考虑明年不再续约;但对于正在评估是否采购该厂牌产品的企业而言,CrowdStrike的应变方式和对客户的补偿方式等,则是他们后续评估是否采购的重要关键。
过往骇客主要针对Windows电脑下手,但最近两到三年,他们将攻击范围扩及其他作业系统的情况越来越普遍,有骇客组织使用跨平台开发工具,打造出针对macOS、安卓作业系统的恶意程式。
例如,资安业者赛门铁克揭露中国骇客组织Evasive Panda(他们称为Daggerfly)开发的macOS恶意程式,就是这样的例子。他们针对最近一波的攻击行动提出警告,指出对方近期针对台湾企业组织、位于中国的美国非政府组织(NGO)使用新的作案工具从事网路间谍活动,过程中利用Apache HTTP伺服器的漏洞散布恶意软体框架MgBot。
但值得留意的是,他们发现名为Macma的macOS后门程式,也是这些骇客开发、使用的武器之一。这个后门程式最早在2021年由Google威胁情报团队(TAG)揭露,并推测骇客2019年就开始使用,并滥用遭骇的香港网站发动水坑式攻击,来散布这支后门程式。
◆