中國政府資助的駭客如何闖入台灣半導體產業

調查顯示,中國駭客集團已經滲透進台灣的經濟核心:半導體產業。

 

文|Andy Greenberg

 

  多年來,台灣一直是中國政府資助的駭客的攻擊目標。台灣資安公司所進行的調查顯示,中國駭客集團已經滲透進台灣的經濟核心:半導體產業。

 

  網路安全公司奧義智慧(CyCraft)的研究員在黑帽會議上提供了過去兩年至少危害七間台灣晶片公司的駭客活動新細節,這一系列的深度入侵旨在竊取盡可能多的智慧財產權,其中包括原始碼、軟體開發套件和積體電路設計。奧義智慧為這群駭客取名為「Chimera」,他們還發現一些證據表明,這群駭客可能與受中國政府資助、惡名昭彰的駭客組織「Winnti」(又被稱為Barium或Axiom)有所關聯。

 

  參與奧義智慧調查的研究員查德‧達菲(Chad Duffy)說:「這是一場以政府為目標的駭客攻擊,試圖操控與動搖台灣的地位與國力。」另一名研究員陳忠寬(Chung-Kuan Chen,音譯)補充說:「我們所觀察到的大規模盜竊智慧財產權行為,已經從根本危害了一間公司的整體經營能力,這是對整個半導體產業的戰略攻擊。」

 

  研究員拒絕透露任何受害公司的名字,因為其中一些是奧義智慧的客戶。該公司與「資安事件應變小組論壇」(Forum of Incident Response and Security Teams)的調查團隊合作分析其他駭客入侵活動,包括幾間總部位於新竹科學工業園區的半導體公司。

 

  研究者發現,在某些情況下駭客似乎是透過破壞虛擬私人網路(VPN)來初步進入受害網路,但還不清楚他們是獲得虛擬私人網路的存取憑證,還是直接利用伺服器的漏洞趁機而入。然後,駭客通常使用客製版的滲透測試工具「Cobalt Strike」,把植入的惡意軟體偽裝成Google Chrome的更新檔。他們還使用主機設在Google或微軟雲端服務上的命令與控制伺服器,讓入侵行為變得更難被偵測。

 

「這是一場以政府為目標的駭客攻擊,試圖操控與動搖台灣的地位與國力。」

 

  駭客從初始存取點開始就會嘗試存取被密碼雜湊法所保護的密碼數據庫,試圖破解它們,從而轉移到網路上的其他設備。奧義智慧的分析師表示,只要有機會駭客就會利用竊取的憑證和用戶可使用的合法功能在網路上進一步獲得更多存取權限,而不是使用可能暴露其指紋的惡意軟體感染的設備。

 

  然而,奧義智慧發現駭客在受害網路中不斷使用的獨特策略是一種操控網域控制器(Domain controller,設定大型網域存取規則的主要伺服器)的技術。駭客結合常用的駭客工具「Dumpert」和「Mimikatz」代碼的特製程式,為網域控制器記憶體裡的每位使用者新增一個新的密碼——每位使用者都變成有一個相同的密碼——這個技術被稱為「萬能鑰匙注入」(skeleton key injection)。有了這組新密碼,駭客就能偷偷進入該公司的所有設備,達菲說:「它就像一把萬能鑰匙,讓駭客無所不在。」

 

  2020年4月,奧義智慧悄悄發佈了大部分「萬能鑰匙行動」的內容,並在黑帽會議上提供了幾項這類型駭客活動與中國政府有關的新線索。

 

  奧義智慧的研究員發現,Chimera從受害網路中竊取資料,並攔截它們與命令控制伺服器通訊的認證權杖(authentication token)。奧義智慧的分析師使用相同的權杖能瀏覽雲端伺服器上的所有內容,其中包括俗稱為駭客「小抄」的文件檔,裡面列出入侵的標準操作流程,而這份文件檔很明顯是用簡體中文寫成。

 

  這些駭客的活動時間也大多在北京時區內,而且遵循著中國科技產業常見的「996」工作日程——早上9點至晚上9點,每周工作六天——並且在中國的國定假日期間休息。最後,奧義智慧表示他們與台灣和外國情報機構的合作瞭解到,一個使用類似技術的駭客組織也把台灣政府機構當作攻擊目標。

 

  不過,最能說明問題的是,多個受害網路上存在同一個後門程式,而這個程式之前是被Winnti所使用。Winnti是一個龐大的駭客組織,運作已經長達10幾年,人們普遍認為這個組織的總部位於中國境內。近年來,Winnti因實行一系列似乎受中國政府支持且符合中國利益的犯罪駭客活動而聞名,他們的目標通常是電玩遊戲公司。2015年,賽門鐵克公司發現Winnti似乎也使用類似針對台灣半導體公司的「萬能鑰匙注入攻擊」。但目前還不能確定Chimera是否就是Winnti,只不過可能性非常高。

 

竊取晶片設計圖可能讓中國駭客更容易地找出隱藏在電腦硬體下的漏洞。

 

  2013年,卡巴斯基公佈的調查報告首次發現並將其命名為Winnti。2019年,卡巴斯基斷定華碩的電腦更新機制遭到劫持和攻擊與其有關。卡巴斯基全球研究與分析團隊負責人科斯廷‧拉尤(Costin Raiu)指出,除了奧義智慧所關注的半導體產業外,Winnti還對其他許多台灣企業進行攻擊,其中包括電信和科技產業。

 

  拉尤說:「他們所發現的可能只是一小部分。」此外,Winnti並不是唯一一個以台灣為目標、與中國政府相關的駭客組織,只是他們與眾不同的入侵方式(例如劫持華碩的更新機制)才特別顯眼。

 

  奧義智慧的達菲認為,即使在中國大規模攻擊台灣產業的情況下,半導體產業本來就是一個特別危險的目標。他提到竊取晶片設計圖可能讓中國駭客更容易地找出隱藏在電腦硬體下的漏洞,達菲說:「如果你從設計圖著手就能更深入和真正瞭解這些晶片,也就可以對它們進行各種模擬攻擊,並在上市之前先行發現漏洞。當這些設備上市後,它們已經是一群待宰羔羊。」

 

  奧義智慧承認目前無法確定駭客對盜竊的晶片設計圖和代碼做了些什麼,但這群中國駭客的動機很可能是為了讓中國半導體產業在全球競爭中占得先機,達菲說:「這是削弱台灣經濟的一部分,損害台灣長期的生存能力。這次攻擊的範圍已經接近整個半導體產業,無論供應鏈的上下游都受到影響,他們似乎在嘗試轉移中間的權力關係。如果所有智慧財產權都落在中國手裡,他們也就得到了更多權力。」

 

 

原文出處:Wired

 

既然您在這裡… 您知道MPlus這些年來一直都是非營利網站嗎?我們秉持「思想自由」與「價值共享」的信念,希望打造一個不受商業操控、專注在讀者身上的平台。如果您也認同我們正在努力呈現的觀點,請您點擊以下的贊助連結。只要新台幣50元,您就可以支持我們,而且只需要您一分鐘的時間: