總統府幕僚傳出電腦疑似遭駭後外洩文件,國安局長邱國正立刻派員了解,國安系統對案情幾乎完全噤口,全案到底是駭客還是「內鬼」幹的,在調查結果出爐前沒人敢定論。
總統府在五月十五日傳出遭駭客入侵,駭客外洩給媒體的變造文件涉及高層宮鬥戲碼,讓此案演變成台版「維基解密」。但警調及國安系統目前都在鴨子划水地勾稽府方網路資料,全案到底是駭客還是「內鬼」幹的,在調查結果出爐前沒人敢定論。
國安系統對案情幾乎完全噤聲
總統府傳出被駭事件前,五月初國內才接連爆發境外駭客勒索企業事件,被害者包括國內知名的兩大石化產業龍頭台塑、中油以及科技大廠力成。五月七日,國安局長邱國正在立法院被詢問到企業遭駭問題時,也證實國安局掌握到疫情期間和五二○前後,來自境外有組織性的網路攻擊會加大力道。他坦承追蹤來源不易,但也淡淡地說:「不認為五二○之前會有什麼特別。」
但事情卻在預期外發生了,總統府幕僚電腦傳出疑似遭駭後,邱國正立刻派員了解,內部也強化防處作為,不過目前卻並未編組進行全面清查。
國安系統對案情幾乎完全噤口,僅表示尊重司法調查,態度低調到不行。有國安人士坦承有所顧慮,他說:「由於近日資訊混亂,資料外洩究竟是『駭客』還是『內鬼』做的,暫時不敢定論,必須等調查結果出爐才能確定。」
「總統府遭駭客攻擊不是新鮮事,過去也常見到每秒數百萬次的洪水式攻擊,這次事件如果真為駭客做的,等於是府方首度被攻破。」前國安核心人士分析,總統府安全網被攻破的機率很低。
他說明,總統府含國安會的網路系統均由國安局協助建置,不但採取實體隔離,就連作業系統都是單獨設計,與外界一般使用的系統不同。高層重要人士在府外,另使用單獨加密系統。
事實上,政府為了強化資安防護與區域聯防,今年投入九億多元預算,總統府更以近千萬元經費打造「府區監控中心」,資安系統幾乎已升級成銅牆鐵壁,駭客應該很難攻破。
駭客可能企圖攻擊府方主機未成功
他話鋒一轉質疑,如果是中國駭客幹的,應該會鎖定竊取外交、國防與兩岸機密資訊,而不是民進黨人事宮鬥。如果駭客攻破總統府,那協助建置且使用同一系統的國安局,也會連帶被攻破,竊走全台與國際情報網絡資訊,「事情就大條了」。他研判很可能是內鬼做的,被導向是駭客入侵,讓國安局成為代罪羔羊。
不過府方指出,並非府的資安系統被攻破,而是幕僚未做好安全措施,在府外使用自己的電腦上一般開放網路。這也顯示總統府資安的標準作業程序出了問題。
警調鴨子滑水追查總統府網路資料後,也初步研判,幕僚人員在外網使用筆電或外接式儲存器肇禍的可能性較高。推斷潛伏期可能超過兩周,駭客應該來自境外。令人捏把冷汗的是,駭客似乎也曾透過幕僚電腦連接內網的機會,攻擊府方主機伺服器,所幸府方採取最高規格的資安防護系統,才無功而返。雖然警調還在釐清駭客身分,但已有情資顯示,這次極可能又是中國駭客的傑作。
五月初國內大企業遭境外駭客勒索。當時調查局緊急組成專案小組調查,根據後門程式組態檔、中繼站的IP及網域名稱等相關資訊勾稽,赫然查出這批駭客可能來自中國駭客組織Winnti Group或和該組織有密切關係的駭客組織。更驚人的是,Winnti Group是中國政府長期資助的對象,官方色彩非常濃厚。
根據調查,該駭客組織先向美國服務供應商(華裔負責人)租用雲端主機,做為犯案境外中繼站,並使用商用滲透工具Cobaltstrike做遠端存取控制,似乎早就密謀向世界發動一連串的勒索任務。
知名台企遭勒索,十家還在潛伏期
據了解,這批駭客攻擊台企的計畫並非臨時起意,他們鎖定特定企業員工入侵其個人電腦、網頁及伺服器,而這些駭客已經在企業的內網裡耐心潛伏了好幾個月,直到掌握特權帳號權限後,再侵入公司網域,控制伺服器,設定時間執行勒索軟體威脅交付贖金。 (相關報導: 新新聞》駭客入侵總統府,蔡英文首席幕僚險被攻陷 | 更多文章 )
根據調查局掌握的情資顯示,該組織也同步埋伏在至少十家重要台灣企業的內網伺機攻擊,調查局除透過國際合作查案,也呼籲國內企業必須全面清查網路系統。
