1.新聞網址︰
https://reurl.cc/A8jnZE
2.新聞來源︰
天下雜誌
3.新聞內容︰
中國駭客「凱美拉行動」:台7家半導體公司受害 ,連設計圖都被看光光
https://imgur.com/M2k0zGM
一個客戶的意外發現,讓資安公司奧義智慧查出:至少有7家台灣半導體相關公司被中國
駭客攻擊,部份案例潛伏時間甚至超過1年,連晶片設計圖、技術藍圖等文件都淪陷。難
怪台積告訴供應商,資安過不了評鑑,就不能供貨。
知名駭客、同時也是資安新創公司奧義智慧共同創辦人吳明蔚,從來沒想過他們所發布的
一篇報告,會讓他的手機和公司電話史無前例地響個不停,接到美國、巴西、印度、德國
等海外記者密集來電,問他:「凱美拉(Chimera)行動究竟是怎麼回事?」
因為8月6日,奧義智慧在全球「黑帽駭客大會」上,以多達73頁的簡報發表「凱美拉行動
」,揭露中國駭客正針對台灣半導體供應鏈進行滲透,試圖竊取營業祕密。
抓出中國Winnti「傳令兵」
吳明蔚解釋,台灣半導體行業正被惡名昭彰的中國駭客集團Winnti鎖定攻擊,今年來,竹
科至少有7家半導體相關公司被駭客攻擊,其中某IC設計公司內網不但有駭客潛伏超過1年
,其晶片產品設計圖等文件都被攻陷、閱覽。
最重大的證據,就是他們在台灣受害者供應鏈被植入的惡意程式中,發現Winnti常用的特
殊後門惡意程式「baseClient.exe」。
「我們從這個後門內的程式碼辨識出就是Winnti行動,」吳明蔚說,「該後門這就像戰場
上的『傳令兵』,我們後來發現這個傳令兵的存在並且破解它,發現baseClient後門會把
資料往回傳,會講Winnti protocol(Winnti傳輸協定)。」
吳明蔚將今年密集出現的中國駭客持續性滲透威脅,稱之為「凱美拉」駭客行動。
某IC設計公司資料外洩9次
時間拉回去年12月中旬,吳明蔚透露,竹科某知名半導體廠C找上奧義科技,指出他們和
供應商B公司要進行業務合作,雙方在安全網域下準備聯網交換業務文件,一連卻感覺B供
應商的網路,會出現異常行動。
C公司委託奧義幫供應商進行資安鑑識,結果赫然發現,供應商B已被滲透1年以上,至少
被埋下10個惡意程式,駭客從2018年8月開始就一直在B公司的網域裡來去自如,登入認證
並觀看文件。
「這個駭客還相當有紀律,每3個月就進來打包資料帶走,像在做季報一樣,」奧義智慧
資深研究員陳仲寬解釋,B公司至少被侵入9次,部份晶片專案的技術藍圖(roadmap)、
晶片軟體開發套件等技術文件都被看過,但B公司完全沒有察覺、文件也沒被破壞,駭客
「顯然不是以破壞公司營運為目的,而是很明確地潛進來偷商業機密。」
但駭客到底是怎麼進來的?奧義將這些駭客命名為「凱美拉」,原因在於:凱美拉是希臘
神話中會噴火的怪物,上半身像獅子、中間像山羊、下半身像毒蛇、嘴裡還噴火,後來被
遊戲動畫衍伸為力量強大的合體怪獸。
陳仲寬說,中國駭客的手法就像凱美拉一樣,混合不同的原始碼惡意程式,如Dumpert及
有「超級瑞士刀」之稱的Mimikatz等,再透過公有雲平台當中繼站,從微軟系統相關程式
更新、或遠距NB等多種管道,侵入公司內網。
駭客作息,符合中國「996」常態
奧義4月發布凱美拉報告,吸引竹科其他公司也來詢問。奧義5月後陸續調查別家公司,這
才發現:竹科已有至少7家半導體相關行業公司都遭遇駭客攻擊。
除了前面所提的Winnti後門「傳令兵」,後來也發現,有些受害者被植入的程式碼還夾雜
簡體中文。吳明蔚因此判斷,背後有Winnti成員在內。
吳明蔚觀察,凱美拉的行為模式符合中國科技業工作常態「996」,亦即上午9點工作到晚
上9點、一週工作6天,且會在中國大陸的假日(如農曆春節、十一長假、大陸特殊節日)
休息。
台積攜SEMI制定資安標準
工研院資通所副組長卓傳育說,中美貿易戰和新冷戰情勢,讓台灣遭受的網路攻擊愈來愈
多,且相信駭客「有國家力量在背後」。
過去許多駭客以勒索取財為主,但也有少數特定敏感事業或關鍵基礎設施會被列為國家攻
擊或恐攻標的,至於Winnti為何還沒打台積,而是先打半導體周邊供應鏈呢?卓傳育說,
「當然有在打呀,只是打不進去而已。」
卓傳育說,這也是為何工研院要和台積合作,一起制定半導體行業資安標準。
台積資訊技術安全專案部經理張啟煌說,半導體產業一直有設備系統老舊、無法更新等問
題,像是目前多數半導體機台都還使用Windows XP系統,台積希望從設備端做好防護。
台積認為應該從機台研發初期就制定資安標準,張啟煌說,「因為涉及許多軟硬體公司,
所以從去年制定到今年,我們希望年底前可以讓全球SEMI會員投票通過,以後機台都有一
致性的資安防護規範。」
4.附註、心得、想法︰
半導體將是接下來中美台角力點
台積電會不斷受到中國的攻擊