趋势科技揭发2024年中国骇客偷偷攻击台湾无人机制造商,透过供应链攻击方式打入目标组织。
回顾最近一年的全球资安重大事故,电信业已成国家级骇客主要攻击重点,不只美国多家电信业遭中国骇客Salt Typhoon渗透,目的是窃听全民与政府高层的讯息,我国国安局也揭露台湾遭受中国骇客攻击情形,电信业遭受威胁最严峻,较前一年度大增650%,然而,国家级网路间谍的威胁不止于此,资安业者定期发布事件调查与研究报告,持续揭示最新威胁态势。
边缘装置漏洞成主要入侵管道,中国骇客大肆锁定利用
对于最新国家级骇客威胁的整体变化,杜浦数位安全(TeamT5)技术长李庭阁剖析了过去一年的局势,我们汇整出3大重点。
第一,中国骇客组织发动的网路间谍攻击,正大肆锁定边缘装置漏洞攻击,进而入侵到政府与大型企业,目标可能是要长期潜伏渗透,持续锁定国家情报与商业机密,或是发动其他网路攻击。
李庭阁指出,近年多国网路安全机构都在对中国骇客组织的威胁示警,并强调其近期手法在于攻击边缘装置(Edge Device),包括小型路由器、邮件、防火墙等。由于此类攻击事件越变越多,已成企业组织无法回避的挑战。
还要注意的是,不只挖掘零时差漏洞来攻击,这些国家级骇客组织也经常利用已知漏洞来攻击,尽管不能完全神不知鬼不觉,但相当省力省时。原因在于,即便厂商释出修补,但用户不一定有修补,或是有些漏洞被揭露,但厂商可能因为产品生命周期结束等原因,而不愿修补或尚未修补。
因此,随著美国非营利组织MITRE公布新的漏洞,台湾电脑网路危机处理暨协调中心(TWCERT/CC)也在TVN平台公布经他们审核的国内产品漏洞,不只防守者重视此资讯,骇客也会从攻击角度滥用。李庭阁指出,TeamT5已经观察到,近期中国骇客会主动关注TVN的漏洞资讯,应是设法当作攻击起点。
无论如何,企业组织应体认到:漏洞修补是一整套的行动,不只是需要有研究人员找出未知漏洞、通报业者,供应商要及时修补,但如果更彻底避免攻击者持续滥用漏洞,用户本身也要及时修补这些弱点。
第二,国家级骇客组织组织生态系曝光。过去调查这类国家级骇客活动时,资安业者普遍只能从攻击活动看到攻击手法,但背后运作模式无法清晰了解,2024年初中国资安业者安洵外泄的文件,曝光了国家资助骇客攻击也会外包给民间商业公司,甚至层层外包的供应商关系,还有不同组织在竞争中,也会建立策略联盟的合作现象,满足彼此需求并扩大攻击成效。
目前已有一些中国资安业者被揭露,是受中国政府资助对外发动网路网路攻击,例如:成都肆零肆、安洵信息、北京永信至诚科技等。
第三,近年中国骇客从国家资助扩及金钱导向攻击。最近三五年来,少数原本受中国政府资助的骇客组织,开始转向以金钱驱动的网路攻击,尤其2024年中国经济往下回落,这些组织获得的资金支持逐渐减少,于是转向黑色产业。
例如,他们在国内的资安事故调查发现,中国骇客EtherBei(又名Flax Typhoon)入侵台湾企业并植入后门,两周后却发现,知名勒索软体平台LockBit贩售相关资料,等于化身初始存取掮客(Initial Access Broker),入侵后将资料贩售,以获取金钱利益;还有像是中国骇客组织Amoeba(又名APT41)帮中国政府发动对外攻击时,也在全球进行勒索软体攻击。
诸如此类的状况陆续被公开,像是2024年12月中国资安业者奇安信,曾揭露中国骇客组织APT41打造的PHP恶意程式Glutton,攻击中国、美国等地的IT服务公司,换言之,为了经济利益,连当地中国企业也都可以是攻击目标。
对此态势,李庭阁认为将对中小企业带来极大冲击,为全球带来极大乱象。因为这些中国政府支持的骇客组织,有能力发动针对型的网路间谍攻击,但如今国家提供的资金减少,使他们开始到处攻击民间企业勒索获利,甚至与勒索软体组织合作拆帐,透过这些网路犯罪来填补其商业营运的资金缺口。
台湾中小企业同样备感压力,因为将面对与过去完全不同等级的网路攻击。
整体而言,这些国家级骇客威胁的变化,正是我们在2025年需要特别关注的核心议题。
台湾无人机制造业者遭骇,中国骇客以供应链方式来隐匿入侵
基本上,政府机关与关键基础设施(CI)一直是国家级骇客的攻击目标。最近就有针对台湾无人机制造商的网路间谍攻击,目的可能是干扰我国产业技术发展,或造成国人与国际的不信任,甚至在持续渗透下,可能于战事或必要时发动致命攻击,如资料抹除攻击等,企图瘫痪我国无人机的生产与运作。
趋势科技资深威胁研究员陈健宏表示,他们今年追查到一个之前没被发现的中国骇客组织,并将该组织命名为「TIDrone」,因为他们是锁定无人机与军工产业而来。
在2024年9月,趋势科技发布对于中国骇客TIDrone的研究报告,公布其使用的攻击手法、技巧与程序(TTP)。
这波攻击行动之所以现形,是因为趋势科技持续收到台湾资安事故通报,在经过比对及调查后,发现台湾已有军工与卫星产业遭攻击。
特别的是,这起攻击活动还是精心设计的供应链攻击。趋势科技威胁研究团队发现,攻击者主要利用渗透ERP系统的方式,以及透过UltraVNC远端桌面桌面软体下载恶意程式,还使用WinWord.exe作为载入器来执行恶意活动,进而植入两个专属恶意程式,CXCLNT用于窃取受害者的电脑资讯,CLNTEND则是一种远端存取木马的后门程式。
最近2024年12月,韩国资安业者AhnLab揭露韩国企业的事故,同样遭中国骇客TIDrone攻击,其手法与趋势科技揭露的案例如出一辙,被部署相同的恶意程式,也是透过当地ERP软体业者入侵。
综观上述态势,这类型「软体供应链攻击」事件相当严重,而且国家级骇客的攻击目标,不只锁定国际上的软体服务业者,也在锁定台湾本地的软体业者,我们必须有所警惕。
还有一个中国骇客组织Flax Typhoon(亚麻台风)的威胁,同样值得我们关注。趋势科技威胁研究团队表示,他们正持续追踪这个组织的攻击行动,虽然正式的调查报告尚未公布,但微软近期发布Flax Typhoon研究报告,值得企业与政府留意,原因是该组织主要锁定台湾政府的资讯服务商或软体代理商。
回顾2020年,我国调查局曾经因为侦办数起台湾政府机关遭骇的重大案件,揭露中国骇客Blacktech与Taidoor锁定委外资讯服务供应商的情形,因此,这种「委外供应链攻击」也必须当心。
2024年中国骇客偷偷攻击台湾无人机制造商,透过供应链攻击方式打入目标组织
趋势科技在2024年9月揭发中国骇客TIDrone,持续在4月到8月锁定台湾卫星及军事工业,目的很可能是打击我国无人机产业发展,甚至长期渗透以在必要时发动破坏。而且其攻击手法相当隐密,透过供应链攻击方式,先从台湾ERP业者下手。后续2024年12月,韩国资安业者AhnLab也发现TIDrone的攻击活动,是透过韩国ERP业者入侵当地特定企业。