2020 年六大資安事件!勒索與資料洩漏事件頻發災難年!(上)
今年新冠狀肺炎疫情肆虐,企業營運已備受挑戰,而駭客的活躍也讓情況雪上加霜,根據趨勢科技資料顯示,這些攻擊事件的發生遍佈各產業,且有瞄準製造業的趨勢。
這幾年物聯網裝置的應用愈發普及,從金融、公共機關、製造業、零售業至能源及醫療產業皆可以看到應用,政府也積極推動產業智慧化轉型;然而同時,駭客也在虎視眈眈,伺機尋找安全性漏洞進行攻擊。
根據資料顯示,趨勢科技在 2020 上半年總共攔截了超過 278 億次威脅,較去年同期增加了 10 億,雖然勒索病毒威脅偵測數量較為減少,但新的勒索病毒家族數量反而增加 45%,這些現象與駭客從隨機式攻擊轉向目標鎖定式,以要求高額的贖金有關。
在這個年末我們共同回顧,為新的一年超前部署防護政策。以下盤點 2020 年台灣六大資安事件。
本文快速指引
想看近期發生的資安事件嗎?包含電腦代工大廠仁寶、世界最大製造業鴻海等遭遇勒索軟體攻擊,由此快速到達下集:
台灣兩大石化公司中油、台塑遭受攻擊
今年五月初,中油全台加油站發生部分支付服務中斷的情形,在中油總部大樓也廣播請員工暫時不要使用相關電腦系統;後續(18日)媒體追蹤報導時,內部員工表示生產線上工業電腦的確未受影響,但因內部線上簽核系統無法使用,行政作業大受影響,期間協力廠商的行文及請款流程都只能延宕。
整個事故的發生與影響遠比一般民眾所見更大,中油優先處理與民生需求最相關的加油站,在事故後的第五天,園區內大多行政電腦仍無法使用;經濟部國營事業委員會的單位發言人證實,中油全台有 1 萬多臺執行 Windows 系統的行政電腦,而這次約有 7,500 臺行政電腦受到感染,已達到總數比例的七成。
同是石化產業的台塑石油於同月 5 日也發生事故,事件最早由六輕園區傳出,台塑總部大樓在接獲通報後,要求全部員工電腦立即關機,為避免病毒擴散至分公司或長庚醫院,資訊團隊切斷了海內外伺服器的連線;他們對外表示遭感染的電腦數量控制在個位數百分比內。
由以上 iThome 所報導的資訊可以得知,兩家石化公司遭遇的攻擊事件有個共同點,最初發現受到入侵的電腦,都是在石化工廠(輕油裂解廠)的行政大樓,而兩方事件下產線都並未受到影響。
今年資安大會上,法務部調查局資通安全處處長吳富梅,揭露這起事件的調查結果;中油早在 2016 年 4 月電腦就被植入惡意程式,台塑則也最早在 2019 年 9 月就已被入侵。在入侵之後,駭客並沒有潛伏到這次事件才發動攻擊,在去年 9 月,駭客提權並利用遠端管理工具,連線至中油內部網路;台塑則在今年 4 月被取得特權帳號,以遠端來登入 AD 伺服器。
這類瞄準目標、長期潛伏以階段性進展攻擊的手法,就是進階持續性威脅攻擊(Advanced Persistent Threat, APT)的類型。
根據調查局的調查結果,這起事件中,駭客首先是從 Web 伺服器、員工電腦等渠道,駭入公司系統網路長期潛伏與刺探,後取得帳號權限,進入 AD 伺服器並竄改群組派送原則(GPO),同時預埋入 lc.tmp 惡意程式到伺服器內;當員工開啟電腦時,電腦會立即套用竄改後的群組派送原則,依指令自動將勒索軟體載到記憶體內並執行。
調查局以各項掌握到的資訊,判斷這系列攻擊可能為駭客組織 Winnti Group 所造成,或是與其密切相關的駭客。Winnti 是有中國政府資助背景的駭客組織,專門發動供應鏈攻擊。
多家高科技製造廠接連受到網路攻擊
半導體封測大廠湖口廠區遭攻擊
五月初同時(6日)半導體封測大廠立成也發生災情,於早上 8 點時透過證交所發布重要訊息,證實確實於 4 日下午遭受攻擊,事故發生的地點為該公司湖口廠區,雖造成生產線暫時停止的情況,但表示影響程度有限。根據他們公開的聲明,目前伺服器都已恢復正常,且機密資料並無任何影響。
自動化設備廠盟立受到勒索攻擊,表示不會支付贖金
在 5 月 20 日前後,有多家企業遭受勒索軟體攻擊,在封測廠立成湖口廠區的事故後,6 月 7 日下午自動化設備廠盟立,在證交所公開資訊觀測上,公告他們的資訊系統受到攻擊,導致資料庫無法正常運作,後續啟動備援程序恢復,並表示沒有危害到機密資料。
公告中同樣提及,財務管理系統、倉儲管系統及人事系統均正常,但為防止勒索病毒的擴散,客戶及供應商資訊系統、軟體更新等作業仍採離線方式。
根據 iThome 後續的追蹤報導,事故發生的原委是在約 6 月 6 日中午時候,該公司的資安維運中心監控系統發出警告,在資安人員清查過後,發現有部分的資料受到勒索病毒感染,隔日早上,他們就收到勒索贖金的訊息。他們並未透露勒索病毒的感染範圍,只表示不會支付贖金。
電子業再傳資安事件,PCB大廠欣興公告受勒索病毒感染
繼立成與盟立之後,6 月 29 日下午欣興電子在證交所發出即時重大訊息,表示部分資訊系統疑似受到病毒感染,他們正與資安業者進行檢查及控制影響範圍中,因此範圍仍在評估中。
由於該公司揭露的資訊有限,外界由公司網站的連線情況、電子郵件的寄達與否,只可簡單判斷部分系統恢復狀況,推測可能對於生產設備的影響並不大。
金橋科技與旗下兩子公司遭勒索病毒感染
勒索病毒的攻勢在上半年,已造成多起電子產業資安事故,而資安大會上已有許多專家提醒這樣的態勢並不會有所緩解,目標式勒索攻擊可能將在下半年爆發,企業應對資安事故有預防策略、應變能力。
8 月 21 日時,電子零組件業者金橋科技在證交所發布即時重大訊息,公告中說明該公司部分電腦感染勒索病毒,影響範圍廣及台灣總公司與海外兩間子公司,分別是中國的東莞達晨電業製品與金橋科技電子(昆山)。
該公告簡單提及事件的過程,他們在 20 日晚間察覺異常,在整體檢查完畢後,確認旗下兩間子公司部分電腦及伺服器也受到病毒感染;根據 iThome 追蹤報導表示,該公司財務長兼發言人說明這起事件對公司影響不大,ERP系統並未受到影響,目前恢復狀況良好,僅餘部分員工電腦硬碟仍受影響;並提到這起事件是由子公司先遭受感染,而後擴散至總公司。
點擊下載 UPAS NOC 2021 勒索軟體解決方案
請聯絡我們,為您提供最適合的產業方案與諮詢
