最近两到三年,骇客绑架大量物联网装置并用于DDoS攻击的情况不时传出,而近期骇客偏好的标的,包含路由器及无线基地台等网路设备,以及网路视讯摄影机(NVR)与视讯镜头。
有多组资安研究员针对僵尸网路Eleven11bot动向提出警告,就是这样的例子,这些骇客主要锁定的标的,就是特定厂牌的网路视讯摄影机。
【攻击与威胁】
这几周以来,陆续有多组研究人员警告僵尸网路Eleven11bot的动向,目前攻击者绑架了8.6万台物联网设备,目的是进行DDoS攻击,而这些被操控的设备,多半是网路视讯摄影机(NVR)与视讯镜头。而对于该僵尸网路的来历,资安业者GreyNoise指出是Mirai的变种,主要针对华为旗下海思(HiSilicon)设备而来。
最早察觉此事的是Nokia Deepfield紧急应变团队,资安研究员Jérôme Meyer表示他们约自2月26日发现这个DDoS僵尸网路,并指出这个僵尸网路的势力迅速增长,已挟持超过3万台装置。此僵尸网路锁定通讯服务供应商及游戏主机基础设施而来,攻击强度差异很大,从每秒发出数十万至数百万个不等。Jérôme Meyer指出,这波攻击行动已有服务受到影响,被迫降级数天,且有部分攻击仍在持续进行。
针对这起事故的规模,Shadowserver基金会指出,3月2日约有近8.64万台设备被绑架,其中美国有2.47万台最严重,英国有超过1万台居次。
勒索软体骇客组织Black Basta约自2022年4月开始从事活动,传出是由恶名昭彰的Conti成员组成,如今有资安业者发现,Black Basta疑似有成员出走,跳槽到另一个勒索软体骇客组织Cactus的迹象。
趋势科技指出,他们近期发现Black Basta与Cactus的攻击行动当中,都运用一款名为BackConnect的恶意程式,以便在受害电脑持续活动,这种不寻常的现象引起研究人员的注意。由于1个月前资安业者Prodaft发现Black Basta成员对话内容外流,内容指出Black Basta主要成员出走,并加入Cactus或其他勒索软体骇客组织,两个组织攻击手法及武器出现交集的情况,很有可能是骇客跳槽造成。
但他们发现,Black Basta发动攻击的手法,竟与Cactus雷同,两组人马不仅都使用BackConnect,就连C2的架构也相同。因此研究人员认为,这样的现象很有可能是Black Basta成员加入Cactus所致。
其他攻击与威胁
◆◆
【漏洞与修补】
◆3月10日数发部对外展示数位凭证皮夹雏形,准备在3月底开始沙盒试验,释出开放原始码供外界检视,之后将举办法规调适会议、研讨会、工作坊等活动,搜集各界意见后进行调整,预计在今年12月选择特定应用开始试营运。
数位凭证皮夹的推动,在数位经济时代下有三种意涵,第一是数位凭证将是数位社会的基石,数位凭证皮夹让使用者得以证明自己就是本人,安全存取需要的服务,第二是依照不同情境的选择性揭露,使用者可选择同意分享的身分资讯,第三是互通性,未来资料流通可避免手动输入,且数位凭证系统跨国互通,提升数位经济的运作效率。