爆中國駭客滲透資訊服務商竊政府機密　攻擊來源在湖北

記者楊佩琪／台北報導

調查局近來偵辦多起中國駭客攻擊政府機關案件，赫然發現，中國駭客組織「Blacktech」、「Taidoor」，已經長期滲透入國內政府機關，及承接政府標案之資訊服務供應商，企圖竊取機密資訊、民眾個人資料，而幕後黑手就是中共官方，來源來自湖北。調查局表示，目前已組成專案小組，全面清查中。

▲調查局持續清查，例如中共幕後操控之駭客集團「Blacktech」，發現攻擊台灣政府機關等地來源，來自中國湖北。（圖／翻攝自Pixabay）

調查局發現，中國駭客組織深知台灣政府機關為求便利，常提供遠端連線桌面、VPN登入等機制，讓委外資訊服務廠商進行遠端操作與維護。又因國內廠商大多缺乏資安意識，且吝於投入資安防護設備，也未配置資安人員，形成資安漏洞。

而主要活動於東南亞地區的駭客組織，例如「Blacktech」，便鎖定國內尚未修補的CVE漏洞網路路由器設備，看準多數台灣民眾未對設備做韌體更新，或修改預設設定，藉此取得路由器控制權，作為植入惡意程式的中繼站，並另以途徑攻擊國內資訊服務供應商、政府機關對外服務網站，破解員工VPN帳號密碼、寄送帶有惡意程式的釣魚郵件，以此滲透內部，並利用模組化惡意程式進行橫向移動。

調查局分析，目前清查出的惡意程式為「Waterbear」後門程式，可藉由受感染的電腦，以加密連線的方式，傳送、竊取資訊。另外，中國駭客以此也能取得受駭單位內部網路控制權，安裝VPN連線軟體，例如SoftEtherVPN，其亦可以攻擊或存取網頁型後門Webshell進行竊資。

調查局表示，「Waterbear」後門程式為中共背後支持的中國駭客組織「Blacktech」近年常用的惡意程式，攻擊來源來自中國湖北。另也發現同樣受中共支持的駭客組織「Taidoor」足跡，呼籲各政府單位與企業組織協助注意可疑網駭活動，建議委外系統維護不提供遠端操作，或是使用多因子認證方式，降低被駭客入侵的風險。

目前調查局提供惡意程式供各界參考如下：

一、manage.lutengtw.com 二、dccpulic.lutengtw.com 三、trust.utoggsv.com 四、wg1.inkeslive.com 五、k3ad01.rutentw.com 六、ams05.cksogo.com 七、edgekey.whybbot.com 八、shed.inkeslive.com 九、ap21.gckerda.com 十、cornerth.com 十一、teamcorner.nctu.me