台湾一直以来面临中共打压,台湾公司也不例外。台湾网络安全公司的调查显示,在过去两年中,至少七家台湾半导体公司受到黑客攻击,这些黑客被证明来自中国大陆。
美国连线杂志(Wired)8月初报导,在今年的黑帽大会(Black Hat)上,台湾网络安全公司CyCraft的研究人员展示了中共黑客活动的最新细节,包括攻击者使用“万能钥匙注入器”(Skeleton key injector)技术,在过去两年中至少危害了七家台湾芯片公司,旨在窃取尽可能多的知识产权,包括源代码、软件开发套件和芯片设计。
CyCraft还发现了这些黑客活动与中国大陆有联系的证据,并将它们与中共政府资助的黑客组织Winnti联系在一起。
万能钥匙注入获得访问权而不暴露痕迹
研究人员发现,黑客会通过损害VPN(虚拟网络)来获得对受害者网络的初始访问权限,然后使用渗透测试工具Cobalt Strike的自定义版本,通过为其提供与谷歌浏览器(Google Chrome)更新文件相同的名称来掩饰他们所植入的恶意软件。他们还使用了托管在谷歌或微软云服务上的命令和控制服务器,从而使其通信更难被检测为异常。
黑客将从他们最初的访问点开始,通过访问受密码杂凑(cryptographic hashing)保护的密码数据库,并尝试破解它们,从而转移到网络上的其它计算机。CyCraft的分析师说,只要有可能,黑客就使用被窃取的凭据和用户可用的合法功能在网络上移动,并获得进一步访问权限,而不是使用可能暴露其痕迹的恶意软件感染计算机。
CyCraft发现黑客在受害网络中,反复使用的最独特策略是操纵域控制器技术,域控制器是为大型网络设置访问规则的强大服务器。使用结合了通用黑客工具Dumpert和Mimikatz代码的客户定制程序,黑客将为域控制器内存中的每个用户添加一个统一的新附加密码,这种方法称为万能钥匙注入(skeleton key injection)。使用该新密码,黑客将可以秘密访问整个公司的计算机。
负责CyCraft长期调查的研究人员之一查德‧达菲(Chad Duffy)说:“这就像一把万能钥匙,可以让他们通行无阻。”
新发现:备忘单用简体中文写成
CyCraft在黑帽大会上还公布了最新发现,他们找到了这些黑客活动来自中国大陆的证据。
CyCraft的研究人员观察到黑客小组从受害者网络中窃取了数据,并从他们与命令和控制服务器的通信中拦截了身份验证令牌。使用相同的令牌,CyCraft的分析师能够浏览云服务器的内容,其中包括他们为黑客准备的“备忘单”(cheat sheet),列明了典型入侵的标准操作程序。该文件特别用简体中文写成,这只在中国大陆使用,台湾使用的是正体中文。
除此之外,CyCraft的研究人员还发现,黑客似乎主要在北京时区工作,遵循“996”工作时间表,并按照中国大陆的假期放假。
另一个发现,多个受害者的网络上存在一个后门程序。CyCraft的研究人员表示,该程序先前曾被Winnti组使用,Winnti组已经运行了十年以上,拥有大量黑客,并且被广泛认为是基地位于中国大陆的组织。在2015年,赛门铁克(Symantec)发现Winnti似乎也在使用万能钥匙注入攻击,就像CyCraft发现的被用来对付台湾半导体公司的那种攻击。
攻击半导体产业削弱台湾经济
近日,台湾调查局指出,中共黑客组织长期潜伏攻击台湾,包括近十个政府单位,约6,000个公务电邮信箱。台湾已成立专案小组侦办。
但黑客对于台湾半导体企业的攻击特别危险。CyCraft的研究人员认为,窃取芯片原理图可能会允许中国黑客更容易挖掘隐藏在计算机硬件中的漏洞。如果他们对这些漏洞进行各种模拟攻击,并在发布之前找到漏洞,那么当这些设备投放市场时,它们已经受到损害。
研究人员表示,中共黑客攻击的范围,几乎涉及整个行业,包括供应链的上下游,是对整个行业的战略攻击。
CyCraft的研究人员达菲说:“这是削弱台湾经济的一部分,损害台湾长期生存能力的一种方式。”
台湾制造了全世界2/3的半导体,而中国则是世界最大的半导体进口国。台湾大学国家发展研究所法学博士2018年曾建元对大纪元表示,台湾成为中共窃密的目标有三个原因,一是台湾芯片产业发展很早,基础深厚;二是半导体人才也非常充分;另外,在国际供应链和整个经营上,台湾有长期的经验及相互的信任关系。
