臺美聯手防駭,追緝並起訴APT41中國網軍

臺灣在今年五月爆發中油、台塑以及科技公司力成科技等公司,先後遭到駭客以勒索軟體加密勒索的資安事件。臺灣調查局追查到中繼站以及惡意程式資訊後,則立刻提供給美國聯邦調查局進行調查,美國司法部也於八月起訴相關的網路駭客。臺美合作細節因為涉及美國司法調查程序,一切必須在9月16日之後才能對外解密。

臺美聯手追查APT41駭客組織,跨國捍衛數位國土安全

調查局資安工作站副主任劉家榮表示,臺灣與美國在科技防駭上有合作關係,五月臺灣爆發類似案件且調查局追查到相關中繼站且掌握相關惡意程式後,提供美國加州雲端主機(VPS)資訊給美國司法部門,並於八月起訴五名疑似APT41的中國籍駭客,以及二名涉案的馬來西亞業者。劉家榮說,因為這起臺美調查合作牽涉到美國的司法調查程序,臺灣必須在9月16日之後才能對外解密相關內容。

調查局局長呂文忠致詞表示,這些駭客集團發動的攻擊方式和目的已經和以往不同,不僅是個人或少數人的犯罪行為,現今更已經轉變成分工精細的跨國犯罪集團;因為網路無國界,各國執法機關更需要密切合作,才能有效遏止並偵辦這些跨國駭客集團。他也說,調查局也將持續發揮「主動偵查、打擊犯罪」的能力,展開公私協力及跨國合作,共同捍衛數位國土安全。

美方FBI駐臺聯絡官Nicholas J. Garci 也親臨調查局共同召開記者會,並引述FBI副局長鮑迪奇發言指出:「我們要讓駭客及網路犯罪者付出代價,而最好的方式就是統合我們的能量,並持續向全球拓展合作關係。」

APT41就是中國駭客組織Winnti,假借成都404網路公司合法掩飾非法

APT41這個駭客組織就是大家熟悉的中國駭客組織Winnti Group,也有其他別名稱之為又被稱為Barium、Winnti、Wicked Panda、Wicked Spider。

劉家榮引述美方的調查資料指出,APT41利用中國四川省成立的「成都404網路公司」作為掩護,除了開發駭客工具及惡意程式外,更針對全球政府機關、通訊及科技業、學術研究機構、醫療機構及電玩遊戲產業等全球超過一百家企業發動網路攻擊及間諜活動,受害企業散布臺灣、新加坡、馬來西亞、日本、韓國、泰國、越南、巴西和澳洲等,攻擊活動則包括:非法入侵他人主機、竊取機敏資料以及進行電信詐欺等,其中則以發動供應鏈攻擊帶來的影響範圍最深遠。

劉家榮表示,APT41這個駭客組織與中國國安單位有密切聯絡,並在今年五月,鎖定臺灣關鍵基礎設施業者以及高科技業者發動攻擊,攻擊手法主要是先透過Web伺服器、員工電腦等途徑,進入公司內部進行潛伏及刺探 ;再者,則透過竊取特權帳號後入侵AD伺服器,並利用AD伺服器的派送功能,將勒索軟體派送到全公司的電腦進行加密。

第三,回報位於美國境內的VPS雲端主機的中繼站;第四,駭客則利用凌晨期間,竄改公司群組原則(GPO),透過工作排程將勒索軟體 lc.tmp程式,派送到公司內部伺服器和電腦;第五,當員工上班打開電腦後,電腦就會立即套用群組原則並下載工作排程,會在設定的時間內,透過PowerShell將lc.tmp惡意程式載入記憶體執行;最後,企業電腦和伺服器被加密後,則會顯示勒索訊息和聯絡電子信箱,駭客留下的勒索訊息指出「一臺電腦贖金是三千美元」。

美國司法部起訴APT41駭客組織中的五名中國籍駭客,劉家榮表示,在美方的調查中發現,中國政府默許這些駭客的網路攻擊行為並提供相關司法保護,因此,調查局呼籲「不應該默許、支持或保護任何不法駭侵攻擊行為,應該公正採取適切的司法制裁,避免成為網路駭侵者的避風港,應該遵循正常且合法的網路規範,共同維護全球網路環境的安全與秩序。」

調查局資安工作站副主任劉家榮表示,今年五月駭客組織APT41對臺灣中油、台塑和力成科技等業者發動攻擊,利用勒索軟體加密系統和資料,也要求每臺電腦三千美元的贖金。臺灣調查局在掌握惡意程式和相關中繼站的資料後,也立即提供給美國調查局聯手打擊APT41,美國司法部也於八月正式起訴五名APT41網軍和二名馬來西亞業者。照片提供:調查局

原文來自 iThome Online