上周最受到各界关注的事故,就是EDR系统CrowdStrike Falcon更新出错,导致全球大量出现蓝色当机画面(BSoD)的情况,微软初估全球有850万台Windows电脑受到影响,究竟台湾灾情如何,陆续有相关消息传出。我们也私下访问企业的资安长及资服业者,发现金融、资服、传统制造及高科技制造业都传出灾情。
另一方面,金管会也在例行记者会透露金融业者受害的情形,并指出期货商、投信业者、寿险业者、产险业者都有受害的情况。
【攻击与威胁】
针对保险业受影响情形,保险局主任秘书古坤荣说明,少数业者的官网或对外服务系统有部分功能受影响,中断了数分钟至三小时,「大家都在时间内修复完成。」另外,古坤荣提到,本次保险业者受影响装置有一千多台伺服器,和一千多台桌机和笔电。他表示,保险业者后续将强化服务,提供厂商的紧急应变机制,拟订SOP来缩短类似事件的因应处理时效,并且办理资安产品多样化等改善措施。
针对证券期货业受影响情形,证期局主任秘书尚光琪表示,受影响的2家期货商和4家投信业对外服务并未中断,也没有影响到客户权益。但是,尚光琪提到,经调查后确认,本次事件中外商投信业者的受影响装置数量较多。
恶意软体沙箱服务业者Any.Run指出,他们发现有骇客意图趁机散布资料破坏软体(Wiper)的迹象,对方针对想要找寻能修正电脑因CrowdStrike更新当机的使用者,声称提供另一个由CrowdStrike制作的更新软体,能解决当机的问题。然而一旦使用者执行,电脑档案就会被以0位元的资料覆写,完成后恶意程式再向特定的Telegram频道回报。
而对于攻击者的身分,资安新闻网站Bleeping Computer指出,伊朗骇客组织Handala声称是他们所为,并透过社群网站X透露,攻击目标是以色列的企业组织,他们透过钓鱼邮件来散布资料破坏软体。
根据彭博社报导,美国联邦调查局(FBI)在以色列业者Cellebrite提供的工具协助下,以「开发中、尚未公布」的产品破解「较新款」的三星手机,从而成功存取攻击美国总统候选人川普的刺客手机,过程仅花费40分钟。
本月13日川普在宾州农场公开造势发表演说时,遭到宾州男子Thomas Matthew Crooks企图行刺。川普仅右耳受伤,而刺客随后遭到狙击手击毙。FBI取得此嫌犯的手机以调查行刺原因及是否有共犯,事件隔日还无法存取手机,但第二天FBI就宣布成功存取其中内容,对于如何破解手机锁定及刺客使用的手机品牌,FBI皆未说明。
这家以色列业者主要的业务,就是提供各国政府及警方破解工具,作为办案使用。2016年FBI为侦办枪击案需解锁已经死亡的嫌犯手机,寻求苹果协助遭拒,最终FBI得到第三方业者协助,外传该业者就是Cellebrite。