知名駭客、同時也是資安新創公司奧義智慧(CyCraft)共同創辦人吳明蔚,從來沒想過他們所發布的一篇報告,會讓他的手機和公司電話史無前例地響個不停,接到美國、巴西、印度、德國等海外記者密集來電,問他:「凱美拉(Chimera)行動究竟是怎麼回事?」
因為8月6日,奧義智慧在全球「黑帽駭客大會」(Black Hat security conference)上,以多達73頁的簡報發表「凱美拉行動」,揭露中國駭客正針對台灣半導體供應鏈進行滲透,試圖竊取營業祕密。
由於這屆駭客大會因疫情以線上播放影片方式舉行、觀眾無法即時發問。但奧義一報告完,瞬間爆紅,美國《Wired》、《ZDNet》等科技媒體相繼報導。
抓出中國Winnti「傳令兵」
吳明蔚解釋,台灣半導體行業正被惡名昭彰的中國駭客集團Winnti鎖定攻擊,今年來,竹科至少有7家半導體相關公司被駭客攻擊,其中某IC設計公司內網不但有駭客潛伏超過1年,其晶片產品設計圖等文件都被攻陷、閱覽。
最重大的證據,就是他們在台灣受害者供應鏈被植入的惡意程式中,發現Winnti常用的特殊後門惡意程式「baseClient.exe」。
「我們從這個後門內的程式碼辨識出就是Winnti行動,」吳明蔚說,「該後門這就像戰場上的『傳令兵』,我們後來發現這個傳令兵的存在並且破解它,發現baseClient後門會把資料往回傳,會講Winnti protocol(Winnti傳輸協定)。」
吳明蔚將今年密集出現的中國駭客持續性滲透威脅(APT),稱之為「凱美拉」駭客行動。
他說,「護國神山」台積兩年前中了勒索軟體WannaCry病毒,損失約26億,創台灣史上損失金額最高的資安事件,但今年來,中美貿易戰加溫、又遇到新冠疫情讓遠距辦公更仰賴雲端伺服器,台灣半導體業面臨更前衛、更進化,而且更難偵測的駭客攻擊。
某IC設計公司資料外洩9次
時間拉回去年12月中旬,吳明蔚透露,竹科某知名半導體廠C找上奧義科技,指出他們和供應商B公司要進行業務合作,雙方在安全網域下準備聯網交換業務文件,一連卻感覺B供應商的網路,會出現異常行動。
C公司委託奧義幫供應商進行資安鑑識,結果赫然發現,供應商B已被滲透1年以上,至少被埋下10個惡意程式,駭客從2018年8月開始就一直在B公司的網域裡來去自如,登入認證並觀看文件。
「這個駭客還相當有紀律,每3個月就進來打包資料帶走,像在做季報一樣,」奧義智慧資深研究員陳仲寬解釋,B公司至少被侵入9次,部份晶片專案的技術藍圖(roadmap)、晶片軟體開發套件等技術文件都被看過,但B公司完全沒有察覺、文件也沒被破壞,駭客「顯然不是以破壞公司營運為目的,而是很明確地潛進來偷商業機密。」
但駭客到底是怎麼進來的?奧義將這些駭客命名為「凱美拉」,原因在於:凱美拉是希臘神話中會噴火的怪物,上半身像獅子、中間像山羊、下半身像毒蛇、嘴裡還噴火,後來被遊戲動畫衍伸為力量強大的合體怪獸。
陳仲寬說,中國駭客的手法就像凱美拉一樣,混合不同的原始碼惡意程式,如Dumpert及有「超級瑞士刀」之稱的Mimikatz等,再透過公有雲平台當中繼站,從微軟系統相關程式更新、或遠距NB等多種管道,侵入公司內網。
詳細手法包括:中國駭客開發出客製化的APT惡意程式CobaltStrike,可直接覆蓋Google瀏覽器Google Chrome更新檔(Google update)。
陳仲寬說,「假更新檔繞過防毒軟體偵測,下載的員工也沒發現,於是這個假更新檔直接進入這家IC設計公司的內網。」
該惡意程式還夾帶系統登錄檔(Registry)、以及可進行網域滲透的ntds.dit檔,駭客進入後即可遠端執行、觀看資料。
駭客並合成了許多病毒原始碼,將其整合成特殊憑證工具SkeletonKey,一旦用上述手法,成功感染目標的裝置並植入憑證,「就像拿到一把萬用鑰匙,駭客可以入侵目標公司所有帳號。」
駭客作息,符合中國「996」常態
奧義4月發布凱美拉報告,吸引竹科其他公司也來詢問。奧義5月後陸續調查別家公司,這才發現:竹科已有至少7家半導體相關行業公司都遭遇駭客攻擊。
除了前面所提的Winnti後門「傳令兵」,後來也發現,有些受害者被植入的程式碼還夾雜簡體中文。吳明蔚因此判斷,背後有Winnti成員在內。
「這是一個很古老的組織,顯然技術持續進步,現在會先打知名半導體大廠外圍(供應商)或政府機關外包的系統整合(SI)商,由外向內、由下往上滲透。」
吳明蔚觀察,凱美拉的行為模式符合中國科技業工作常態「996」,亦即上午9點工作到晚上9點、一週工作6天,且會在中國大陸的假日(如農曆春節、十一長假、大陸特殊節日)休息。
台積攜SEMI制定資安標準
工研院資通所副組長卓傳育說,中美貿易戰和新冷戰情勢,讓台灣遭受的網路攻擊愈來愈多,且相信駭客「有國家力量在背後」。
卓傳育說,不同駭客集團的手法跟目的都不一樣,但都需花費一定時間,「要找到有價值的攻擊主機及資料,然後悄悄將資料偷出去,所以對有高度價值的目標,會更有耐心從供應鏈慢慢滲透。」
過去許多駭客以勒索取財為主,但也有少數特定敏感事業或關鍵基礎設施會被列為國家攻擊或恐攻標的,至於Winnti為何還沒打台積,而是先打半導體周邊供應鏈呢?卓傳育說,「當然有在打呀,只是打不進去而已。」
卓傳育說,這也是為何工研院要和台積合作,一起制定半導體行業資安標準。
台積資訊技術安全專案部經理張啟煌在一場論壇表示,半導體行業被攻擊或駭客試圖竊密一事,長期以來一直都有,他指出,台積中毒事件後,內部除了既有的兩千多人IT團隊,還另外成立資安部門,專職進行資安風險控制;兩年來資安團隊逾百人,可隨時因應駭客攻擊或病毒入侵。
但「自己家的圍牆築很高,鄰居遭小偷也不安心」,台積因此也幫供應鏈做資安防護,去年成立台積供應鏈資安協會(TSMC Supplier Chain Security Association),目前台積供應商網站有約3000家供應商登錄,台積會定期找第三方機構評鑑供應商的資安弱點、協助加強,無法通過評鑑的,未來將不能成為台積供應商。今年台積會先針對重要供應鏈進行稽核,預計完成9家以上的供應商評核。
台積也與SEMI(國際半導體設備和材料協會)合作,協助制定國際半導體資安標準。
張啟煌說,因為半導體產業一直有設備系統老舊、無法更新等問題,台積希望從設備端做好防護。
他舉例,目前多數半導體機台都還使用Windows XP系統,「很多人搞不好都快沒聽過、不熟悉XP了,你很難想像這個已經不被支援更新或修補漏洞的系統,竟然還在高科技設備上!」
但這些機台長年介接許多軟體,若從XP升級到Win7或Win10,工程師擔心出現相容性問題,影響生產,所以許多廠商都不升級、不更新。
台積認為應該從機台研發初期就制定資安標準,包括作業系統規範、網路介面管理、端點資安保護、監控管理、認證權限管理等,張啟煌說,「因為細項太多,涉及許多軟硬體公司一起討論用什麼標準,所以從去年制定到今年,我們希望年底前可以讓全球SEMI會員投票通過,以後機台都有一致性的資安防護規範。」
