最近与台湾最为相关的资安事故,莫过于资安业者趋势科技、Acronis先后揭露锁定无人机制造商的攻击行动,但昨天有3家上市公司发布重大讯息,表明他们网站遭到DDoS攻击的情况,尤其是过往鲜少有企业因DDoS攻击发布重讯,这样的资安事故相当值得关注。
值得留意的是,宣称犯案的骇客组织,是最近2年专门针对协助乌克兰的欧美国家下手的俄罗斯骇客NoName057,以近半个月而言,该组织在针对捷克、法国、乌克兰政府机关发动攻击之外,也锁定台湾发动攻击。
【攻击与威胁】
在9月12日,国内有3家上市公司接连发布重讯说明网站遭遇DDoS攻击。我们先是注意到上市租赁业中租控股在12日早上6时55分发布重大讯息,说明侦测到网站遭受DDoS攻击,并且有服务中断的情形,不过该公司表示,事发当下资讯部门已启动相关防御机制与复原作业,网站已经恢复正常运作。
到了晚间,国内两家上市金融业也因为遭遇DDoS攻击,紧急发布相关资安重讯。先是兆丰金控在晚间6时52分发布重大讯息,说明遭遇大规模DDoS攻击,包括兆丰集团的金控、证券、票券及投信公司网站都受影响,再来是彰化银行在晚间11时49分也发布重大讯息,说明他们的银行官网遭受网路DDoS攻击。所幸两家金融业者都表示已于第一时间启动相关防御复原机制,立即启动相关防御机制,网站皆已恢复正常运作。
值得注意的是,已有骇客组织高调宣布犯案。根据自由时报报导指出,这是名为NoName057的亲俄骇客组织所为。对于攻击原因,报导中指出对方是因我国总统赖清德近日引用中俄领土争议,来反驳中国收复台湾的主张,但此说法目前仅是攻击者发文的片面之词,逻辑上自打嘴巴。
代号为Fortibitch的骇客周四(9月12日)于Breach Forum骇客论坛声称,成功入侵资安业者Fortinet的Azure SharePoint帐号,窃得440 GB资料,Fortinet在24小时内便出面证实此事,但强调遭到入侵的共享云端硬碟中,其实只存放不到0.3%客户的部分资料。
对此事件,Fortinet表示,未经授权的不明人士存取该公司位于第三方云端共享硬碟中的部分档案,目前并未发现影响客户的恶意活动,该公司的产品及服务都没有受到影响,骇客也没能存取Fortinet其他资源,该公司的企业网路并未遭到存取,或被植入勒索软体。值得一提的是这名骇客企图向Fortinet勒索,但Fortinet执行长Ken Xie表明不会付钱。
代号为grep的用户在骇客论坛上贴文宣称,9月初法国IT顾问业者Capgemini的资安事故是他们所为。这名人士表示,他们从Capgemini数个资料库窃走资料,包括程式原始码、凭证、API金钥、专案文件、员工资料、网路威胁报告,以及客户T-Mobile的虚拟机器(VM)事件记录等。这名人士指出,由于资料太多,他们最后决定只窃取公司机密资料及大型档案,档案大小总计20 GB。
新闻网站The Register取得骇客掌握的Capgemini公司员工资料,包括姓名、邮件信箱、用户名称和密码杂凑资料。其他还有备份档、该公司客户的内部系统及组态设定档等。
The Register报导,Capgemini被骇一事近日已在业界传开,但该公司始终没有出面说明。这次Capgemini也未回复媒体问题或评论此事。
继资安业者趋势科技发现偏好攻击台湾无人机制造商的中国骇客组织TIDrone,有其他资安业者也公布相关资安事故的调查结果。本周资安业者Acronis指出,今年4月至7月,他们看到骇客利用旧版Word 2010主程式,针对台湾无人机制造商发起攻击行动Operation WordDrone。
究竟骇客如何入侵受害组织,研究人员表示他们无法找到明确证据,但他们提及,首度看到相关的恶意软体,是出现在鼎新电脑ERP软体的程式资料夹「Digiwin」,骇客窜改其更新程式Update.exe,置换成用于攻击的Word主程式档案(WinWord.exe)。对于相关发现,再加上此ERP系统部分元件存在CVE-2024-40521等已知漏洞,研究人员推测攻击者很有可能利用该ERP软体从事供应链攻击。
研究人员指出,有鉴于骇客滥用具有长效期的台湾企业数位凭证,所有的C2伺服器也全部位于台湾,因此他们认定这是极具针对性的攻击行动,并向台湾电脑网路危机处理暨协调中心(TWCERT/CC)通报此事。
其他漏洞与修补
【资安产业动态】
JFrog Runtime专门针对应用程式的执行,透过持续监控Kubernetes丛集的行为、资料流和执行环境,即时发现威胁并采取行动。与传统的静态安全侦测不同,JFrog Runtime在应用程式实际执行时进行安全监控,辨识未经授权的行动、权限升级和系统异常等潜在威胁。这种动态监控方式特别适用于当前云端和容器化应用,降低企业受动态环境中安全漏洞的影响。