骇客入侵软体开发业者,并在正式发布的软体里加入恶意程式码的情况,不时有事故传出,最近一起针对韩国VPN业者的攻击事故揭露,引起外界的关注。
值得留意的是,发动这起事故的中国骇客组织PlushDaemon,开发了具备超过30种功能的后门程式来从事攻击,但资安业者ESET发现,这些骇客也著手开发威力更加强大的版本。
【攻击与威胁】
近年来锁定软体业者而来的供应链攻击不时传出,其中一种就是在公司正式提供用户下载的网站上,提供含有恶意内容的安装程式,使得毫无戒心的使用者可能会因此中招。
资安业者ESET揭露针对韩国VPN服务业者IPany的软体供应链攻击事故,中国骇客组织PlushDaemon从2023年发动攻击,并在该公司VPN软体的安装程式植入后门程式SlowStepper,此为具备超过30种元件的多功能恶意软体,用途是广泛监控使用者并收集资料。
对于这起事故的受害范围,ESET恶意软体研究员Facundo Muñoz指出,他们根据遥测的资料,在去年11月、12月,发现有日本及中国使用者受害,此外,ESET也确认有使用者于韩国半导体公司、尚未确认身分的软体开发业者的网路环境里,发现用户电脑试图安装木马程式的迹象。
去年8月下旬电玩平台Steam发生大规模DDoS攻击,传出与当时推出不久的大型电玩游戏黑神话:悟空有关,中国资安业者奇安信指出,骇客动用多达60个僵尸网路,对全球Steam伺服器发动4波攻击,其中号称是攻击主力的僵尸网路Aisuru,如今出现新的变种攻击行动。
奇安信X实验室Alex.Turing、Wang Hao等4名研究人员指出,Aisuru在上述攻击行动曝光后,9月短暂停止攻击行动,但背后的骇客组织在利益的驱动下,先后在10月、11月对僵尸网路进行翻新,其中11月底出现的僵尸网路Aisuru变种,骇客称为Airashi。
新的僵尸网路变种更换主要绑架的网路设备,骇客针对美国网路设备业者Cambium Networks提供的无线基地台cnPilot而来,利用零时差漏洞散布恶意程式;再者,并指出攻击者有意提供非法代理伺服器的新服务。
根据Dark Reading、SecurityWeek、The Hacker News、The Register等多家新闻网站报导,美国总统川普宣布解除所有国土安全部(DoH)顾问委员会的成员,其中包含了组成网路安全暨基础设施安全局(CISA)与网路安全审查委员会(Cyber Safety Review Board,CSRB)的人员。由于CSRB尚在调查中国骇客Salt Typhoon大规模攻击美国电信业者的资安事故,这项人事命令很可能对相关调查造成冲击。
1月20日国土安全部代理秘书Benjamine C. Huffman宣布此事,并指出理由是为了消除资源遭到滥用的情况,确保他们行动的优先顺序会以国家安全为考量。未来该委员会的工作,将会完全集中在保护国家及国土安全部的重点战略任务。
Benjamine C. Huffman在信里并未提及新的顾问委员会成员,但表示原本的成员可重新申请回锅。
而对于这起事故可能会带来的影响,根据新门的初步评估,对公司财务及业务无影响,目前营运也一切正常。
其他攻击与威胁