台湾自成立以来一直面临着与中国大陆的生存冲突,多年来一直是中国政府支持的黑客的攻击目标。但台湾一家安全公司进行的一项调查显示,一个中国黑客团伙就能渗透进一个处于台湾经济核心地位的行业,几乎掠夺了整个半导体行业。
在今天的黑帽安全会议上,来自台湾网络安全公司CyCraft的研究人员计划提供一场黑客活动的新细节,该黑客活动在过去两年中至少危害了7家台湾芯片公司。这一系列深度入侵——由于攻击者使用了“骨架钥匙注入器”技术而被称为“操作骨架钥匙”——似乎旨在窃取尽可能多的知识产权,包括源代码、软件开发工具包和芯片设计。虽然CyCraft之前给这群黑客起过个名字,叫Chimera,但该公司的新发现包括了一些证据,表明他们与中国大陆有关,并与中国政府支持的臭名昭著的黑客组织Winnti有松散的联系。Winnti有时也被称为钡或Axiom。
参与CyCraft长期调查的研究人员之一查德•达菲(Chad Duffy)表示:“这在很大程度上是一场以政府为基础的攻击,沐鸣开户测速试图操纵台湾的地位和权力。”CyCraft的另一位研究员陈忠宽(Chung-Kuan Chen)将在黑帽大会上展示该公司的研究成果,他补充说,CyCraft观察到的这种大规模盗窃知识产权的行为“从根本上损害了一家公司的整个经营能力”。“这是对整个行业的战略攻击。”
万能钥匙
CyCraft的研究人员拒绝向《连线》透露任何受害公司的名称。一些受害者是CyCraft的客户,该公司与一个名为“事件响应和安全团队论坛”的调查小组合作分析了其他入侵事件。几家半导体公司的总部都设在台湾西北城市新竹的科技中心新竹工业园区。
研究人员发现,至少在某些情况下,黑客似乎是通过破坏虚拟专用网来初步访问受害网络的,不过尚不清楚他们是获得了访问VPN的凭据,还是直接利用了VPN服务器的漏洞。然后,黑客通常会使用定制版的渗透测试工具Cobalt Strike,通过将植入的恶意软件命名为谷歌Chrome更新文件来掩盖它。他们还使用了托管在谷歌或微软云服务上的命令和控制服务器,这使得它的通信更难以被检测到。
从他们最初的接入点,黑客试图搬到网络上的其他机器访问数据库的密码保护和加密散列并试图破解它们。CyCraft的分析师表示,只要有可能,黑客就会利用窃取的凭证和用户可以使用的合法功能,在网络中移动,进一步获取访问权限,而不是用恶意软件感染机器,这样可能会暴露用户的指纹。
然而,CyCraft发现黑客在受害网络中反复使用的最独特策略是操纵域控制器的技术。域控制器是设置大型网络访问规则的强大服务器。使用一个结合了常用黑客工具Dumpert和Mimikatz的代码的定制程序,黑客会为域控制器内存中的每个用户添加一个新的额外密码——每个用户都有一个相同的密码——这一技巧被称为骨架键注入。有了这个新密码,黑客就可以偷偷进入公司的机器。达菲说:“这就像一把万能钥匙,沐鸣开户测速让他们无处不在。”
中国的关系
CyCraft安静地发表这些发现对大多数操作今年4月份万能钥匙。但在其“黑帽”谈话中,该机构计划增加几项有助于将黑客活动与中国大陆联系起来的新发现。
也许这些新线索中最引人注目的来自于对黑客的攻击。CyCraft的研究人员观察到,奇美拉小组从受害者的网络中窃取数据,并能够拦截他们与命令控制服务器通信的认证令牌。使用同样的令牌,CyCraft的分析师可以浏览云服务器的内容,其中包括他们所称的黑客“备考单”,列出了典型入侵的标准操作程序。这份文件明显是用简体中文写的,简体中文在中国大陆使用,但在台湾不使用。
黑客们似乎还主要在北京的时区内活动,他们遵循“996”的工作日程——早9点到晚9点,一周工作六天,这在中国科技行业很常见——并在中国大陆的节假日期间工作。最后,CyCraft表示,他们从与台湾和外国情报机构的合作中了解到,一个使用类似技术的黑客组织也将台湾政府机构作为目标。
不过,最能说明问题的是,多个受害者网络上存在一个后门程序,CyCraft说,该程序此前由Winnti组织使用。Winnti组织是一个庞大的黑客组织,运作了10多年,人们普遍认为该组织的总部位于中国大陆。近年来,Winnti因实施一系列看似受政府支持、符合中国利益的黑客活动和以营利为目的的犯罪黑客活动而闻名,这些黑客活动的目标通常是电子游戏公司。2015年,赛门铁克发现,Winnti似乎也使用了类似CyCraft针对台湾半导体公司使用的那种万能钥匙注入攻击。(CyCraft指出,目前还不能确定奇美拉是否真的是Winnti,但认为这是一个可能的可能性。)
“大图的碎片”
卡巴斯基在2013年公布的一份调查中首次发现并命名了Winnti集团。去年,沐鸣开户测速卡巴斯基将该集团与劫持华硕(Asus)电脑更新机制的一次攻击联系起来。卡巴斯基全球研究与分析团队负责人科斯廷•拉尤(Costin Raiu)表示,除了CyCraft专注的半导体制造商以外,Winnti还对许多台湾企业发起了其他攻击,包括电信和科技企业。
“他们所看到的可能只是一幅更大图像的一小部分,”拉尤说。Raiu还说,在众多以台湾为目标的与中国有关联的组织中,Winnti并不是唯一的。但他说,Winnti的创新策略,如劫持华硕的软件更新,使他们与众不同。
不过,CyCraft的Duffy认为,即使在中国大规模入侵其岛屿邻国的情况下,半导体行业也是一个特别危险的目标。他指出,窃取芯片原理图可能会让中国黑客更容易地挖出隐藏在计算硬件中的漏洞。Duffy说:“如果你在原理图的层面上对这些芯片有真正深入的了解,你就可以对它们进行各种模拟攻击,并在它们被释放之前发现它们的漏洞。”“当这些设备上市时,它们已经受到了影响。”
CyCraft承认它无法确定黑客对被盗的芯片设计文档和代码做了什么。黑客攻击的动机更有可能只是为了让中国本土半导体制造商在竞争中占得先机。达菲表示:“这是在削弱台湾经济的一部分,损害它们的长期生存能力。”“如果你看看这次攻击的范围,几乎整个行业,供应链的上下,似乎是在试图转移那里的权力关系。如果所有的知识产权都掌握在中国手中,他们的权力就大得多。”