台灣一直以來面臨中共打壓,台灣公司也不例外。台灣網絡安全公司的調查顯示,在過去兩年中,至少七家台灣半導體公司受到黑客攻擊,這些黑客被證明來自中國大陸。

美國連線雜誌(Wired)8月初報道,在今年的黑帽大會(Black Hat)上,台灣網絡安全公司CyCraft的研究人員展示了中共黑客活動的最新細節,包括攻擊者使用「萬能鑰匙注入器」(Skeleton key injector)技術,在過去兩年中至少危害了七家台灣晶片公司,旨在竊取儘可能多的知識產權,包括源代碼、軟件開發套件和晶片設計。

CyCraft還發現了這些黑客活動與中國大陸有聯繫的證據,並將它們與中共政府資助的黑客組織Winnti聯繫在一起。

萬能鑰匙注入 獲得訪問權而不暴露痕跡

研究人員發現,黑客會通過損害VPN(虛擬網絡)來獲得對受害者網絡的初始訪問權限,然後使用滲透測試工具Cobalt Strike的自定義版本,通過為其提供與谷歌瀏覽器(Google Chrome)更新文件相同的名稱來掩飾他們所植入的惡意軟件。他們還使用了託管在谷歌或微軟雲服務上的命令和控制服務器,從而使其通信更難被檢測為異常。

黑客將從他們最初的訪問點開始,通過訪問受密碼雜湊(cryptographic hashing)保護的密碼數據庫,並嘗試破解它們,從而轉移到網絡上的其它電腦。CyCraft的分析師說,只要有可能,黑客就使用被竊取的憑據和用戶可用的合法功能在網絡上移動,並獲得進一步訪問權限,而不是使用可能暴露其痕跡的惡意軟件感染電腦。

CyCraft發現黑客在受害網絡中,反覆使用的最獨特策略是操縱域控制器技術,域控制器是為大型網絡設置訪問規則的強大服務器。使用結合了通用黑客工具Dumpert和Mimikatz代碼的客戶定製程序,黑客將為域控制器內存中的每個用戶添加一個統一的新附加密碼,這種方法稱為萬能鑰匙注入(skeleton key injection)。使用該新密碼,黑客將可以秘密訪問整個公司的電腦。

負責CyCraft長期調查的研究人員之一查德・達菲(Chad Duffy)說:「這就像一把萬能鑰匙,可以讓他們通行無阻。」

新發現:備忘單用簡體中文寫成

CyCraft在黑帽大會上還公佈了最新發現,他們找到了這些黑客活動來自中國大陸的證據。

CyCraft的研究人員觀察到黑客小組從受害者網絡中竊取了數據,並從他們與命令和控制服務器的通信中攔截了身份驗證令牌。使用相同的令牌,CyCraft的分析師能夠瀏覽雲服務器的內容,其中包括他們為黑客準備的「備忘單」(cheat sheet),列明瞭典型入侵的標準操作程序。該文件特別用簡體中文寫成,這只在中國大陸使用,台灣使用的是正體中文。

除此之外,CyCraft的研究人員還發現,黑客似乎主要在北京時區工作,遵循「996」工作時間表,並按照中國大陸的假期放假。

另一個發現,多個受害者的網絡上存在一個後門程序。CyCraft的研究人員表示,該程序先前曾被Winnti組使用,Winnti組已經運行了十年以上,擁有大量黑客,並且被廣泛認為是基地位於中國大陸的組織。在2015年,賽門鐵克(Symantec)發現Winnti似乎也在使用萬能鑰匙注入攻擊,就像CyCraft發現的被用來對付台灣半導體公司的那種攻擊。

攻擊半導體產業 削弱台灣經濟

近日,台灣調查局指出,中共黑客組織長期潛伏攻擊台灣,包括近十個政府單位,約6,000個公務電郵信箱。台灣已成立專案小組偵辦。

但黑客對於台灣半導體企業的攻擊特別危險。CyCraft的研究人員認為,竊取晶片原理圖可能會允許中國黑客更容易挖掘隱藏在電腦硬件中的漏洞。如果他們對這些漏洞進行各種模擬攻擊,並在發佈之前找到漏洞,那麼當這些設備投放市場時,它們已經受到損害。

研究人員表示,中共黑客攻擊的範圍,幾乎涉及整個行業,包括供應鏈的上下游,是對整個行業的戰略攻擊。

CyCraft的研究人員達菲說:「這是削弱台灣經濟的一部份,損害台灣長期生存能力的一種方式。」

台灣製造了全世界2/3的半導體,而中國則是世界最大的半導體進口國。台灣大學國家發展研究所法學博士2018年曾建元對《大紀元》表示,台灣成為中共竊密的目標有三個原因,一是台灣晶片產業發展很早,基礎深厚;二是半導體人才也非常充份;另外,在國際供應鏈和整個經營上,台灣有長期的經驗及相互的信任關係。#

------------------

📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column