台灣中油5月初遭勒索病毒攻擊,導致系統大當機,經調查後,發現駭客是來自境外的「Winnti Group」。(取自中油官網)
台灣中油5月初遭勒索病毒攻擊,導致系統大當機,經調查後,發現駭客是來自境外的「Winnti Group」。
調查局表示,這次是透過個人電腦、網頁入侵伺服器,再將勒索軟體送往全公司電腦,囂張駭客近日甚至揚言,要再對國內10家公司發動攻擊,目前已知有中油、台塑、及一家科技公司受害。政府正透過國際管道,請求協查境外電子信箱、中繼站。
調查局15日舉行記者會說明,目前已取得6組瑞士、德國可疑電子郵件帳戶,對受害公司威脅取得內部資料,對每台被勒索的電腦要求美金3000元贖金,並揚言若不乖乖付錢,將再攻擊國內10家企業。
資安站副主任劉家榮說,網路駭客在幾個月前透過員工個人電腦、網頁及DB伺服器,入侵被害公司內部網路刺探、潛伏,等到竊取特權帳號後,即侵入網域控制伺服器,並利用凌晨時段竄改群組原則,以派送具惡意行為的工作排程。
劉家榮繼續指出,一旦員工打開電腦後,電腦會立即套用GPO並執行此工作排程,待上班時段,再自動執行駭客預埋在內部伺服器中的「勒索軟體」下載至記憶體中執行,若檔案加密成功,則會顯示勒索訊息及聯絡電子信箱。
劉家榮說,犯案過程中,駭客留後門程式連往境外,向美國境內華裔的「雲端主機(VPS)」服務提供商租用雲端主機作為中繼站,並使用商用滲透工具Cobaltstrike作為遠端存取控制之用。
至於有其他媒體報導,指出台灣中油公司昨(14)日「又被駭」,中油15日對此鄭重澄清並非事實,表示因剛經歷遭惡意程式攻擊事件,員工保持高度警覺,有員工操作異常誤以為有病毒攻擊因而提醒其他人依作業程序斷網、關電源,資訊人員也很快就檢測確認並沒有再次遭攻擊,各項業務及加油站作業皆維持正常運作。
最後,調查局呼籲,各企業應檢視對外網路服務是否存在漏洞、破口, 並觀察企業VPN有無異常登入,或遭安裝SoftetherVPN及異常網路流量,且要更新防毒軟體病毒碼、留意軟體發出之警告,並建立備份機制、離線保存。(國台辦突拋11項「惠台措施」拉攏台商)