[新聞] 勒索軟體Lockbit聲稱侵入台積電虛驚一場

作者: nk11208z (小魯)   2023-07-03 22:00:39
原文標題:
勒索軟體Lockbit聲稱侵入台積電虛驚一場?
合作供應商擎昊科技坦承測試環境遭駭,但仍有疑點尚待釐清
原文連結:https://www.ithome.com.tw/news/157600
發布時間:2023-07-03
記者署名:文/羅正漢
原文內容:
勒索軟體Lockbit的威脅成近日焦點,其駭客在6月30日於暗網網站公布台積電為受害者,
並勒索7千萬美元贖金,當日下午,台積電否認遭入侵的消息,並指出已得知是一家IT硬
體供應商遭駭,後續傳出該業者可能是擎昊科技,當時我們詢問了擎昊科技,該公司僅表
示稍晚再向我們說明,後續,該公司於官方網站發布了資安事件的公告,說明遭擷取的資
訊只是使用到客戶公司名稱的出貨基本設定,無關客戶實際應用,因此沒有造成客戶的損
害。
值得關注的是,多國網路安全機構在6月中旬,才針對Lockbit發出聯合安全公告示警,指
出近三年Lockbit受害組織數量達1,653個,是這兩年最活躍的勒索軟體即服務(RaaS),
才過兩星期,該組織居然聲稱他們入侵全球最大晶圓代工龍頭台積電,態度十分囂張,無
視此舉可能使其成為世界公敵。
而從後續台積電與擎昊科技的回應來看,Lockbit本次雖然公布受害者身分,卻呈現與事
實不符的情況,原因究竟是什麼?不小心搞錯對象?想要藉此進一步打響知名度?測試各
界對此事的反應?還是故意讓大家勞師動眾確認相關事宜而搗亂?
從現階段狀況而言,在這次Lockbit釋出的訊息中,我們在網路上我們看到國外資安研究
團隊分享這次事件多張截圖,除了Lockbit公布台積電為受害者的畫面,還有數張螢幕截
圖,但似乎不像以往釋出局部外洩檔案的作法,供外界能有更多比對資料來證明其價值。
對此事件,台積電在30日已向媒體發表他們的聲明。根據我們從台積電公關處取得的聲明
,他們表明已知悉某IT硬體供應商遭駭,對於已知洩漏的資訊,他們指出是該供應商協助
的硬體初始設定資料,不會影響台積電生產營運,原因在於,所有進入台積公司的硬體設
備,包括其安全設定,皆須在進廠後通過完備程序做相對應的調整,也就是說,不會受出
貨時的基本設定而受影響。
同時台積電也表示,發生事件後已依照標準作業程序來處置,包括立即中止與該硬體供應
商的資料交換,未來將加強宣導供應商的安全意識,與確認安全標準做法的宣導,同時也
提到此次駭侵事件已進入司法。
而台積電所提及的IT硬體供應商,則指向擎昊科技。擎昊科技也在30日發布消息,公告發
生資安事件,說明他們發現遭駭時間發生是在6月29日上午,當日即與客戶通報,並與第
三方資安團隊與客戶共同做損害控管,同時他們也指出,遭網路攻擊並被擷取相關資訊的
環境為工程測試區,被擷取的內容是安裝設定檔等參數資訊,主要是因為當中使用到特定
客戶的公司名稱,因此引起攻擊者的注意,但這些資訊其實無關用戶的實際應用,只是出
貨的基本設定。
從上述兩起聲明來看,目前我們還無法得知這起事件背後Lockbit的動機,例如,是否掮
客集團(Initial Access Broker,IAB)提供給Lockbit的資訊有誤所導致;或是該組織
是在明知沒有入侵TSMC下,卻因為取得有關資料,因此故意聲稱TSMC為受害者,以博取關
注;又或者Lockbit可能存在更廣泛的攻擊意圖,只是尚未被發現。這方面有待後續更多
消息的揭露,才能進一步判斷。
目前看來,主要還是反映勒索軟體組織近年持續針對供應鏈攻擊的態勢。
6月30日台積電公關處聲明全文如下
「台積公司已知悉某IT硬體供應商受到駭客侵害之事件,目前已知洩漏的資訊皆為該供應
商協助的硬體初始設定資料,因所有進入台積公司之硬體設備包括其安全設定皆須在進廠
後通過台積公司完備程序做相對應的調整,本次事件不會影響台積公司之生產營運,亦無
台積公司客戶之相關資訊外洩。事發後,台積公司已按照公司之標準作業程序處理,包含
立即中止與該硬體供應商的資料交換,後續亦將加強宣導供應商的安全意識與確認安全標
準做法。目前此駭客侵害事件已進入司法調查程序。」
擎昊科技資安事件影響範圍受關注
關於這次遭遇Lockbit攻擊的擎昊科技,我們也再次聯繫他們確認狀況,例如,他們是如
何發現工程測試區遭駭,是否有勒索軟體留下的訊息,或是發現異常調查而發現,以及通
知TSMC外,是否通知所有受影響的客戶。至截稿前該公司尚未回覆。
而為了瞭解這次擎昊科技遭駭情況,我們也從國外資安研究團隊揭露的內容來了解情形。
例如,我們在網路上看到國外資安研究團隊揭露多張螢幕截圖,像是包括一個ilo.txt的
文字內容,HPE Nimble storage雲端管理介面的一個郵件警示分頁,這兩張圖中的文字訊
息帶有tsmc.com的字串,另外還有一張VMWare ESXi的截圖,當中顯示的是一個虛擬機器
的群組,被取名為EXSi04.tsmc.com,而當中則包含了數個虛擬機器。
在這些虛擬機器中,包含有Windows NT與多臺Windows Server 2016,而其虛擬機器的名
稱,則帶有多家臺廠公司的名字,包含國內上市櫃公司精誠、巨路,以及智禾、鍵祥、英
寶、安極思等多家科技公司,圖片中顯示可能有多達44家廠商的名字。
因此,是否相關資料也都是工程測試區環境的內容,並都已經通知這些廠商,我們也正向
擎昊科技瞭解中,截稿前他們尚未提供回覆;至於這些截圖還可能透露的資訊,我們也正
請教資安專家提出看法,後續如有最新消息也會持續追蹤。
心得/評論:
台積電5年前 6年前也是廠商插USB導致機台中毒,這次又是廠商出包
擎昊雖然說是測試環境啦..
台灣硬體人才不缺,但是真的該好好重視軟體跟資安了
明天資安股會噴爆嗎?

Links booklink

Contact Us: admin [ a t ] ucptt.com