中國駭客組織攻擊10政府單位 調查局專案偵辦

（中央社記者蕭博文台北19日電）調查局表示，中國駭客組織長期駭侵承接台灣政府機關資訊服務的供應商，進而對中央政府部會、地方政府等10個單位發動攻擊，為清查中國駭客組織攻擊活動，已成立專案小組偵辦。

調查局資安工作站今天上午召開記者會表示，近來偵辦數起政府機關遭駭案，遭攻擊範圍涵蓋2個市政府、水資源局、國立大學等10單位，以及4家資訊服務供應商；據指出，遭侵害的單位包括台北市政府。

調查局說，其中某廠商代管某署5台郵件伺服器遭植入後門程式，該署信箱帳號約6000餘個，但因駭客會抹除軌跡資料，無法判斷有無資料遭竊，但仍對資安造成重大威脅，已向相關機關了解案情。

資安工作站副主任劉家榮表示，中國駭客組織Blacktech、Taidoor、MustangPanda、APT40均牽涉其中；承接政府標案的資訊服務供應商，因負責政府機關重要資訊系統的開發及維運，成為主要攻擊目標，作為跳板攻擊政府機關，試圖竊取機敏資訊及民眾個資。

調查發現，中國駭客組織深知政府機關為求便利，常提供遠端連線桌面、VPN登入等機制，提供委外資訊服務廠商進行遠端操作與維運，由於國內廠商大多缺乏資安意識與吝於投入資安防護設備，也未配置資安人員，因而形成資安破口。

以Blacktech駭客組織為例，該集團主要活動於東南亞地區，駭客先鎖定國內存在尚未修補的CVE漏洞的網路路由器設備，因多數民眾未對設備做韌體更新或修改預設設定，遭駭客利用此CVE弱點取得該路由器控制權作為惡意程式中繼站。

駭客組織並以另一途徑攻擊國內資訊服務供應商或政府機關的對外服務網站、破解員工VPN帳號密碼及寄送帶有惡意程式的釣魚郵件等，成功滲透內部網路後，利用模組化惡意程式進行橫向移動。

調查局分析發現，惡意程式為Waterbear後門程式，受感染電腦會向中繼站報到並以加密連線的方式傳送竊取資訊；另外，駭客為能以多途徑方式持續取得受駭單位內部網路控制權，也在受駭單位內部伺服器安裝VPN連線軟體，如SoftEtherVPN，其亦可以被利用來對外向其他單位進行攻擊或存取網頁型後門（Webshell）進行竊資。

劉家榮說，Waterbear後門程式是中共背後支持的中國駭客組織Blacktech近年常用惡意程式，並有證據支持攻擊來源來自中國湖北，另在受駭公司發現另一中共支持的中國駭客組織Taidoor的駭侵活動足跡，顯見Blacktech及Taidoor正透過供應鏈攻擊台灣政府機關，值得社會大眾注意。

調查局並請各政府單位與企業組織協助注偵內部可疑的網駭活動，並建議委外系統維護不提供遠端操作或是使用多因子認證方式，以降低被駭客入侵風險。（編輯：張銘坤）1090819

本網站之文字、圖片及影音，非經授權，不得轉載、公開播送或公開傳輸及利用。