中共國黑客掠奪台灣半導體產業

新聞來源:Wired《有線媒體》;作者:安迪·格林伯格(Andy Greenberg);發佈時間:2020年8月6日

翻譯/簡評:理工男文峰;校對:Beicy-數學老師;審核:海闊天空;Page:拱卒

簡評

本文詳細介紹了中共國黑客掠奪台灣半導體產業的具體技術以及相關證據,進一步做實了中共用黑客盜取他國核心技術的罪證。中共國的黑客部隊在中共內部是具有戰略地位的,因為中共的體制扼殺創新,因此中共幾乎所有的技術都要通過偷盜獲得。中共通過國家力量不僅從台灣偷盜技術,更是從世界其他各國如美國、加拿大等國偷取技術。中共用黑客部隊偷取技術的目的在於建立自己的技術優勢,用於對外軍事威脅,對內監控自己國家的民眾。網絡脫鉤雖然能夠對中共的黑客偷取專利和技術有重大打擊,但仍然不能從根本上清除這些行為,因為中共的黑客已經分佈在眾多國家。唯有滅共才能治本。

中共國黑客掠奪台灣半導體產業

一個名為“萬能鑰匙操作”的活動已竊取了源代碼、軟件開發工具包、芯片設計等。

台灣一直面臨與中共國存在的生存衝突,多年來一直是中共國國家資金支持的黑客的(襲擊)目標。但一家台灣安全公司的調查表明,僅僅一組大陸黑客就能夠如此深入地滲透台灣經濟核心產業,幾乎掠奪了整個半導體產業。

在今天的”黑帽” 安全會議上,來自台灣網絡安全公司CyCraft的研究人員計劃介紹過去兩年中至少7家台灣芯片公司遭到黑客攻擊的新細節。這一系列深度入侵(之所以)稱為”萬能鑰匙操作”,是由於攻擊者使用”萬能鑰匙注入”技術,(這些入侵)似乎旨在竊取盡可能多的知識產權,包括源代碼、軟件開發工具包和芯片設計。雖然CyCraft公司此前曾給這群黑客命名為Chimra,但該公司的新發現包括了黑客與中共國大陸聯繫的證據,以及與臭名昭著的中共國國家贊助的黑客集團溫蒂(Winnti) 之間的鬆散聯繫。溫蒂(Winnti)有時也被稱為Barium或Axiom。

在CyCraft公司作長期調查的研究員之一查德·達菲(Chad Duffy)表示:“這很大程度上是基於國家(行為)的攻擊,旨在操縱台灣的地位和力量。” CyCraft公司的另一位研究員陳忠寬(Cheng-Kuan Chen)補充說,CyCraft公司觀察到的那種大規模批量盜竊知識產權行為,“從根本上損害了(台灣)公司的整體經營能力” , “這是對整個行業的戰略攻擊。” 他今天將介紹該公司的“黑帽”研究。

骨架密鑰

CyCraft公司的研究人員拒絕告訴有限媒體(WIRED)任何受害公司的名字。有些(受害公司)是CyCraft 公司的客戶,而該公司則與一個稱為”事件響應論壇和安全團隊”的調查小組合作分析了其他入侵事件。幾位半導體公司的受害者總部設在新竹工業園(Hsinchu Industrial Park),這是台灣西北部城市新竹(Hsinchu)的技術中心。

研究人員發現,至少在某些情況下,黑客似乎通過破壞虛擬專用網絡來獲得對受害者網絡的初始訪問,儘管不清楚他們是否獲得了VPN 訪問憑據,或者他們是否直接利用了VPN 服務器中的漏洞。然後,黑客通常使用滲透測試工具Cobalt Strike 的自定義版本,通過與Google Chrome 更新文件同名來偽裝他們種植的惡意軟件。他們還使用託管在谷歌或微軟雲服務上的命令和控制服務器,使得其通信更難檢測為異常。

從初始訪問點,黑客會進入受加密哈希(cryptographic hashing)保護的密碼數據庫,並嘗試破解它們,(從而)嘗試移動到網絡上的其他計算機。 CyCraft公司的分析師說,只要有可能,黑客就會利用竊取的憑據和用戶可用的合法功能通過在網絡中移動並獲得進一步的訪問權限,而不是用可能洩露其指紋的惡意軟件感染計算機。

然而,CyCraft公司發現黑客在受害者網絡中反複使用的最獨特戰術,是(使用)一種技術去操作域控制器—-這種強大的服務器為訪問大型網絡設定規則。通過一個自定義程序,將來自常見黑客工具Dumpert 和Mimikatz 的代碼組合在一起,黑客們將為域控制器內存中的每個用戶添加新的附加密碼,每個用戶都使用相同的密碼,這一技巧稱為”萬能鑰匙注入”。有了這個新密碼,黑客們就會偷偷地訪問整個公司的機器。 “這就像一把萬能鑰匙,讓他們去任何地方,”達菲(Duffy)說。

與中共國的紐帶

今年4月,CyCraft公司悄悄地發表了大部分有關”萬能鑰匙行動”的研究結果。但在”黑帽”對話中,公司計劃增加一些新發現,有助於將黑客活動與中共國大陸關聯起來。

在這些新線索中,最引人注目的或許來自本質上黑客的駭客。 CyCraft公司的研究人員觀察到Chimera小組從受害者的網絡中竊取了數據,並且能夠從他們與命令和控制服務器的通信中截獲身份驗證令牌。使用相同的令牌,CyCraft公司的分析師們能夠瀏覽雲服務器的內容,其中包括他們描述為黑客的“備忘單”,概述了典型入侵的標準操作程序。特別是該文件用簡體中文寫的,用在中共國大陸,而不是台灣。

黑客們似乎也主要在北京的時區內活動,按照”996″的工作日程——每天早9點到晚上9點,在中共國科技行業常見的每週6天工作,並在中共國大陸的假期休假。最後,CyCraft公司說,他們從與台灣和外國情報機構的合作中了解到,一個使用類似技術的黑客組織也瞄準了台灣政府機構。

不過,最具體地發現是在多個受害者網絡上存在一個後門程序。 CyCraft公司說, Winnti 組織以前曾使用過這個程序,該組織是一大批黑客,他們從事了十年以上的工作,被廣泛認為是以中共國大陸為基地的黑客。近年來,Winnti組織以實施國家支持的、符合中共國利益的黑客和營利性犯罪黑客(通常針對視頻遊戲公司)而廣為人知。 2015 年,賽門鐵克公司(Symantec)發現Winnti 似乎也使用了”萬能鑰匙”注入攻擊,就像CyCraft公司發現針對台灣半導體公司那樣。 (CyCraft 公司指出, 它仍然不確定(是否)Chimera實際上就是Wintti組織, 但認為這是可能的。)

卡巴斯基公司(Kaspersky)在2013年公佈的一項調查中首次發現這一黑客組織並命名Winnti。去年,該組織與一次攻擊有關,該攻擊劫持了台灣華碩(Asus)出售的電腦更新機制。卡巴斯基全球研究與分析團隊主管Costin Raiu表示,除了CyCraft公司所關注的半導體製造商(被駭客)以外,Winnti組織應對針對其他台灣企業的一系列廣泛的攻擊負責,(這些企業)從電信到科技公司。

Raiu說:“他們所看到的可能只是一幅大圖的一小部分。” Raiu補充說,Winnti並不是唯一的與中共國有聯繫、對台灣廣泛定位攻擊的(黑客)組織。但是他說Winnti的創新策略,例如劫持華碩(Asus)的軟件更新,使它們與眾不同。

不過,即使在中共國大規模黑客入侵其相鄰島嶼的情況下,CyCraft公司的達菲(Duffy)仍認為,半導體產業是一個特別危險的(面臨攻擊的)目標。他指出,竊取芯片原理圖可能會允許中共國黑客更容易地挖掘隱藏在計算硬件中的漏洞。達菲(Duffy)說:“如果您在原理圖水平上對這些芯片有深刻的了解,則可以對它們進行各種模擬攻擊,並在漏洞發布之前找到漏洞。” “當這些設備投放市場時,它們已經受到損害。”

CyCraft公司承認,無法確定黑客對被盜的芯片設計文檔和代碼的處理方式。黑客行動的更可能動機僅僅是讓中共國自己的半導體製造商在競爭中脫穎而出。達菲(Duffy)說:“這是削弱台灣經濟的一部分,損害其長期生存能力的一種方式。” “如果您查看這次攻擊的範圍,幾乎整個行業,包括供應鏈的上下游,似乎是要改變那裡的權力關係。如果所有的知識產權都掌握在中共國手中,他們將擁有更大的力量。”

原文鏈接

編輯:【 喜馬拉雅戰鷹團

+1
0 則留言
Inline Feedbacks
View all comments

英國倫敦喜莊園 Himalaya London Club UK

欢迎战友加入【英国伦敦喜庄园Himalaya London Club UK】 👉GTV频道: https://gtv.org/web/#/UserInfo/5ee680a45bd6f123dd104807; 👉Telegram文宣电台:https://t.me/HimalayaUK; 8月 13日