編輯部奧義智慧創辦人邱銘彰觀察:「我國高科技製造業過往即遭受過資安攻擊,然而近幾年來可說是愈來愈明顯。」在攻擊日趨頻繁下,我們必須了解駭客的攻擊特性、樣態,以便在企業有限的預算下能對真正缺弱的環節進行修補防護,而不是錯擲資源。
奧義智慧的研究團隊在今 (2020) 年的知名駭客年會黑帽 (Blackhat) 研討會上成為我國少數有研究入選的團隊,奧義智慧研究出一種複雜的組合式攻擊並將其命名為奇美拉 (Chimera),此種先進持續性威脅 (APT) 目前專門針對半導體業者發動攻擊。
而根據觀察,我國遭受的資安攻擊多數來自對岸,前 (2018) 年全球年度資安盛會 RSA 上,唯一可見的簡報中文字幕內容,是我國台積電的機台遭受勒索軟體攻擊的事件,此也成為後續國內外資安在半導體機台防護上的經典教材教案。
邱銘彰進一步分享該公司進行的實際案例調查(資安事故發生後的鑑識),為保護原企業已對敏感內容進行去識別化,變更案例中的電腦名稱、資料名稱,但其他資訊(如日期時間)仍不變,此為去 (2019) 年 11 、 12 月左右發生的案例,期望透過此案例讓大家了解資安攻擊事件的完整脈絡歷程。
此一調查奧義智慧發現了三個威脅,第一個是一個新型威脅,在 VirusTotal 上查無資料,該威脅偽裝成 Chrome 並攻擊位於 GCP (Google Cloud Platform) 上的伺服器。
第二個威脅是駭客使用的資料打包工具,使用很舊的 RAR 壓縮程式,同樣在 VirusTotal 上未能偵測到;第三個威脅是駭客使用特殊的 Credential Hacking 工具,由駭客所開發,來自 Mimikatz 與 Dumpert,目前只出現在 DC 伺服器上,此工具會修改 LSASS 記憶體從而植入萬用後門密碼,使任何帳號都可用萬用密碼登入系統。
在了解威脅的樣態與特性後,奧義智慧也透過自動分析了解攻擊集團的手法 (TTP),並在 MITRE ATT&CK 矩陣中標示出其進攻的手段與歷程。
至此各位可能很好奇,發出這些威脅攻擊的背後駭客或駭客團體到底是誰?奧義智慧對此也追蹤其源頭,其中一個威脅使用專用的後門技術,追溯的結果來自對岸 APT 駭客集團 Winnti,在 MITRE 上的駭客團體編號為 G0044 。
最後邱銘彰歸結。首先,我國新竹科學園區有多家高科技公司同時遭受駭客集團攻擊,研判均來自對岸的 Winnti APT 網軍;其次,駭客新開發的特殊工具未能被 VirusTotal 偵測出,包含已被攻佔的中繼站也被認為是合法的雲端平台,顯示攻擊更趨隱蔽性。
三是虛擬私有網路是破口,Root cause 分析發現有一駭客即是運用登入私有虛擬網路而在企業內網發起攻擊;四是駭客專門攻擊與入侵 AD 存取權限系統,運用少見的 Skeleton-Key 攻擊修改服務並植入萬用密碼,駭客因而能以任一帳號登入系統而難以偵測;最終駭客集團透過佈建與滲透,於去年 12 月竊取大量晶片設計的相關技術文件。期望各位能透過此一案例學習從而修補強化自身的資安。