攻擊政府駭客源頭查到了 調查局揪出境外駭客攻臺資訊供應鏈

調查局資安站副主任劉家榮說明駭客攻擊政府機關方式。（張孝義攝）

2018年起陸續發生政府機關被駭客入侵攻擊案，調查局19日表示，經資安工作站調查，駭客來自境外，利用政府機關提供遠端連線桌面、VPN登入等機制進行攻擊；資安站並公佈manage.lutengtw.com等惡意網域，供國內機關自我檢查並加以封鎖。

資安站副主任劉家榮表示，資安站發現包括經濟部投審會、水利署水資源局、臺北市政府等10個政府機關被駭客入侵攻擊，試圖竊取機敏資訊及民衆個人資料，溯源追查發現攻擊來自境外的駭客組織，包括MustangPanda、APT40及Blacktech與Taidoor等駭客組織。

資安站調查發現，被攻擊的政府機關都有將資訊業務委外發包給資訊廠商承作，MustangPanda等駭客組織利用竊取VPN帳密登入攻擊，或入侵供應鏈廠商，甚至利用家用路由器資安防護較低的特性，攻擊控制後當作入侵供應鏈廠商的跳板。

由於駭客組織深知政府機關爲求便利，常提供遠端連線桌面、VPN登入等機制，提供委外資訊服務廠商進行遠端操作與維運，而且國內廠商大多缺乏資安意識與吝於投入資安防護設備，也沒有配置資安人員，故形成資安破口，讓駭客有機可乘。

資安站表示，以主要活動在東南亞地區的Blacktech駭客組織爲例，駭客先鎖定國內存在尚未修補的CVE漏洞的網路路由器設備，因多數民衆未對設備做韌體更新或修改預設設定，所以遭駭客利用這些CVE弱點取得路由器控制權作爲惡意程式中繼站，並以另一途徑攻擊國內資訊服務供應商或政府機關的對外服務網站、破解員工VPN帳號密碼及寄送帶有惡意程式的釣魚郵件等，成功滲透內部網路後，利用模組化惡意程式進行橫向移動。

資安站表示，經分析惡意程式爲Waterbear後門程式，受感染電腦會向中繼站報到並以加密連線的方式傳送竊取資訊；另外，駭客爲能以多途徑方式持續取得受駭單位內部網路控制權，也在受駭單位內部伺服器安裝VPN連線軟體，如SoftEtherVPN，其亦可以被利用來對外向其他單位進行攻擊或存取網頁型後門(Webshell)進行竊資。

資安站並公佈了11個惡意網域，供國內機關自我檢查並加以封鎖，同時加強資安防護；這11個惡意網域爲manage.lutengtw.com、dccpulic.lutengtw.com、trust.utoggsv.com、wg1.inkeslive.com、k3ad01.rutentw.com、ams05.cksogo.com、edgekey.whybbot.com、shed.inkeslive.com、ap21.gckerda.com、cornerth.com、teamcorner.nctu.me。