包括中油在內,國內多家大型企業本(5)月初接連遭駭客、惡意程式入侵,外界擔憂此次動作是針對我520總統就職前的系列攻擊。對此,法務部調查局今(15)日表示,駭客來自海外,且根據情資研判,近日將對10家企業再度發起攻擊,呼籲業者盡速檢查自身系統。
調查局指出,國內多間重要能源、科技公司本月4、5兩日連續遭勒索軟體攻擊,駭客入侵將勒索軟體植入公司內部系統、個人電腦及伺服器等資訊設備,儲存的重要檔案均無法開啟,不僅營運受到影響,駭客更藉此要求支付贖金。為穩定重要能源、科技公司營運並遏止網路犯罪,調查局即刻組成專案小組展開偵辦。
調查局進一步指出,經過追查,發現駭客在數月前透過員工個人電腦、網頁及DB伺服器,入侵公司內部網路並開始刺探、潛伏,待竊取特權帳號後,便侵入網域控制伺服器(AD),並利用凌晨時段竄改群組原則(GPO),以派送具惡意行為的工作排程,當員工打開電腦會立即套用GPO並執行此工作排程,等到核心上班時段,自動執行駭客預埋在內部伺服器中的勒索軟體,下載至記憶體中執行,一旦檔案加密成功就會顯示勒索訊息並聯絡電子信箱。
調查局表示,在犯案過程中,駭客亦留有後門程式連往境外中繼站,駭客是向美國境內的「雲端主機(VPS)」服務提供商(負責人為華裔人士)租用雲端主機作為駭客中繼站,並使用商用滲透工具Cobaltstrike作為遠端存取控制之用。
調查局接著表示,從掌握的後門程式組態檔、中繼站IP、網域名稱等相關資訊,研判該駭客組織為Winnti Group或與該組織有密切關聯的駭客,調查局將透過國際合作管道協查境外電子信箱與中繼站。
調查局強調,根據專案小組掌握的情資顯示,駭客預謀在近日針對國內10家企業再度發動勒索軟體攻擊;依本案行為模式研判,駭客鎖定的這10家企業應已遭入侵滲透且潛伏已久,呼籲國內企業即刻進下相關檢查,建議內容如下:
1、檢視企業網路防護機制,如對外網路服務是否存在漏洞或破口、重要主機應關閉遠端桌面協定(RDP)功能等。
2、觀察企業VPN有如異常登入行為或遭安裝SoftetherVPN及異常網路流量,如異常的DNS Tunneling、異常對國內外VPS連線等。
3、注意具軟體派送功能之系統,如網域/目錄(AD)伺服器、防毒軟體、資產管理系統,尤其注意AD伺服器的群組原則遭異動、工作排程異常遭新增等。
4、更新防毒軟體病毒碼,留意防毒軟體所發出之告警,因為極有可能是大範圍感染前之徵兆。
5、加強監控網域中特權帳號,應限定帳號使用範圍與登入主機。
6、建立備份機制,並離線保存。
