20-08-29 01:32 0 RSS 2.0

日前，美国科技媒体《Wired》报道称，台湾地区一家名为奥义智慧科技（CyCraft Technology）的网络安全公司在上周举行的“Black Hat USA”黑帽大会上揭露，自从该公司在今年4月发布有关台湾地区半导体产业的网络攻击事件白皮书以来，接获了许多的响应，显示出台湾至少有7家半导体业者曾遭到同一个中国大陆黑客集团“Chimera”锁定。

半导体是智能手机和计算机制造工具的重要组成部分，并且台湾在该行业的收入在2019年达到876亿美元。

CyCraft的研究人员查德·达菲（Chad Duffy）指出，在2018年及2019年于新竹科学园区，发现几起针对半导体业者的网络攻击事件，而且怀疑相关攻击是来自中国大陆的黑客集团，不管是初期发现的攻击或是随后接获的响应，都显示它们采用了类似的策略、技术，以及客制化的恶意软件，因此判断至少有7家半导体业者曾被同一黑客集团锁定，且目的都是为了窃取机密信息。

中国台湾地区与美国、日韩及欧盟地区目前在全球半导体产业中处于领先地位，其中，台湾地区在晶圆代工及封装测试领域都位居全球第一，在无晶圆厂IC设计（Fabless）方面则位居全球第二，垂直整合生产（IDM）名列全球第五。

而也有记者针对此事件对达菲进行采访。（摘录如下）

Q：攻击是何时首次发现的，如何发现？

A：我们最早在2019年初至中期通过我们的MDR（托管检测和响应）监控服务发现了该攻击。

Q：您提到攻击已经损害了整个半导体行业。是什么使您得出这个结论？

A：攻击范围很大，至少涵盖了七个台湾供应商，并且也影响了供应链的各个组成部分。它看起来像是对一个制造商的生态系统攻击，而不是特定目的的攻击。我并没有说它影响了整个全球行业，但是，如果攻击者能够成功地对全球其他供应商进行类似的攻击，那么这种后果仍然存在。

Q：您是否能够识别网络黑客的起源和身份？

A：由于袭击发生的时间，遗留的语言证据我们发现了证据，我们怀疑是中国大陆黑客组织Chimera所为，该组织与中国大陆官方背景的知名黑客组织 Winnti 有关，而且这些黑客还遵循中国大陆的996 工作时间表（996，早上 9 点到晚上 9 点，一周 6 个工作日）及法定假日。

Q：黑客在寻找什么？

A：看来攻击者的目标是盗窃知识产权。

Q：您认为这是国家发起的攻击吗？如果是这样，是什么使您得出了这个结论？

A：攻击的范围和技巧，再加上攻击者的专业化水平及其工作习惯，再加上攻击的持续时间和目标，以及除了政府资助的先前类似行为外，还可能具有政治动机组。

Q：在台湾运营的公司的网络能力是最好的，但遭受了损失。印度的公司是否也更容易受到此类攻击？

A：由于我们所有人都在互联网上，因此任何组织都无法防御高度复杂的高级持续性威胁，无论在印度还是在世界其他地方，它们都容易受到攻击。随着高级持续威胁行为者的策略不断变化并且日趋成熟，任何组织都很难跟上。

因此，有必要采用一套新的解决方案，例如CyCraft生产的解决方案，这些解决方案能够最大程度地利用AI的最新发展来阻止这些新型攻击。印度拥有越来越多的高级网络防御者，但正如美国和欧洲一样，人才匮乏，印度必须采用更高水平的技术来填补这一空白。

根据CyCraft的分析，Chimera集团可能是先透过网钓邮件或外泄数据作为进入半导体业者网络切入点；并以Cobalt Strike作为主要的远程访问木马，以与黑客的命令暨控制（C&C）服务器通信，黑客把Cobalt Strike伪装成Google Update档案，并将C&C服务器设置在Google Cloud平台上以掩人耳目；接着再利用客制化的账号操作恶意软件Skeleton Key Injector，来窃取机密信息。

Skeleton Key Injector专门对付设定网络存取规则的域控制器（Domain Controller，DC），它能替位于DC内存中的所有用户添加同一个新的密码，让该密码变成万能钥匙，使得黑客得以在企业网络中横行，窃取有关芯片、软件开发工具包、IC设计及原始码等机密信息。

这一攻击被称为 Operation Skeleton Key，Duffy说：“这就像一个万能钥匙，您可以用它去任何地方。”

CyCraft表示，黑客组织入侵半导体产业是特别危险的，因为在窃取研发技术后，就有可能会找出其中的漏洞，当这些半导体设备上市后，就可以透过这些漏洞进行攻击，使其受到损害。

资料来源：EE Times

图片来源于网络，不可溯源。如有侵权，请联系我们删除。

美称中国黑客欲窃取美国疫苗研发数据 外交部：造谣污蔑 中国台湾七家半导体企业被黑客入侵，却怀疑黑客来自中国大陆