吳明宜微軟發現,一個與中國政府相關的駭客組織自 2021 年中起,對台灣數十個個政府、學校及企業發動名為 Flax Typhoon 的間諜活動攻擊。
微軟上周發佈報告,公佈其長期追蹤的駭客行動。這起攻擊不只對台灣組織展開間諜竊密攻擊,而且還想儘量維持他們長期存取各種產業公司網路的管道。受害的台灣組織涵括政府、教育、關鍵製造及資訊科技業等。
Flax Typhoon 很少利用惡意程式,主要是以 OS 內建的工具及合法軟體,即所謂「離地攻擊」(Living-Off-The-Land),暗中在受害企業網路上行動。研究人員分析,Flax Typhoon 使用多種工具取得受害系統登入憑證、維持長期滲透、並且能在受害者網路上橫向移動以悄悄擴張。他們會先尋找連向網際網路的伺服器上的漏洞駭入網路,部署 VPN,掃瞄其他系統的漏洞、暗中蒐集受害系統的帳號密碼。由於使用合法 VPN 應用程式,其 VPN 流量和合法 HTTPS 流量幾乎無從分辨,因此不易被安全軟體偵測到。
除了在受害者網路上潛伏外,微軟尚未偵測到 Flax Typhoon 利用這些管道執行其他活動,但微軟說,為了確保客戶的安全性,他們還是決定公佈手上的發現。
微軟掌握的證據顯示,這次行動的駭客組織和 Crowdstrike 稱之為 Ethereal Panda 的組織多所重疊。此外,研究人員相信,攻擊者攻擊台灣的手法,也用來攻擊其他國家,像是東南亞、北美及非洲企業及組織。
台灣安全廠商杜浦數位安全 (TeamT5) 則說至少在 2020 年中就偵測到這波攻擊,且也協助多家組織客戶,包括電子廠及大學解決問題。他們將背後的組織命名為 SLIME13 。
微軟指出,要免於 Flax Typhoon,首要是儘速安裝漏洞修補程式,特別是對外開放的系統及服務。確保登入憑證不外流也是預防方法。此外,企業最好檢查合法帳號是否有異常連線活動。
Flax Typhoon 是中國對台灣發動的網路攻擊行動之一。安全公司 Trellix 偵測到,今年 1 月針對台灣政府官員散佈挾帶竊密程式 PlugX 的惡意郵件比去年增長 30 倍。兩個星期前,Black Lotus Labs 也發現一個不明駭客組織發動竊密程式 HiatusRAT,感染台灣地方政府及企業使用的路由器、及美國軍方單位網站。
來源:The Record