俄國駭客利用IoT裝置入侵企業網路

• 發布日期：108-10-28
• 發布單位：刑事警察大隊

微軟(Microsoft)官方部落格於8/5指出，有駭客組織正在利用印表機與Voice over IP (VoIP)電話等企業物聯網(Internet of Things, IoT)裝置，伺機對企業網路發動攻擊。微軟威脅情報中心(Microsoft Threat Intelligence Center, MSTIC)研究人員4月間發現3起攻擊行動，駭客連上多台VoIP電話、辦公室印表機及影片解碼裝置，經分析後發現攻擊者企圖利用這些裝置駭入企業網路。其中兩次攻擊是利用IoT 裝置的預設密碼，另外一次則是因為裝置韌體未升級到最新版本，而讓駭客有機可乘。研究人員認為，入侵IoT裝置之目的，是在企業網路上建立據點，做為未來發動攻擊準備。駭客成功入侵IoT裝置後，會執行tcpdump軟體來聽取企業子網路的封包流量與內容，並讓裝置與外部中繼站建立連線。攻擊者還會特別列舉出管理群組，以便未來發動進一步攻擊。當攻擊者由一台裝置移動到另一台時，均會放置執行遠端控制的shell script，以便日後持續控制所有接觸過的裝置。

由於3起攻擊都在很早期就被發現，因此微軟尚無法判斷駭客最終目標為何。但微軟判斷這3起攻擊均源自一個名為Strontium的駭客組織，它更為知名的稱號是Fancy Bear或APT 28，是俄羅斯政府所支助之駭客組織。這不是第一次俄羅斯被指控心懷不軌，2016年美國就指控Fancy Bear參與攻擊民主黨全國委員大會(Democratic National Committee, DNC)伺服器，竊取當年總統大選研究資料，它還曾經攻擊過國際奧林匹克委員會(International Olympic Committee, IOC)、世界反禁藥組織(World Anti-Doping Agency, WADA)等知名組織。微軟在過去一年，就發出將近1,400次與該組織有關的國家級駭客攻擊行動警訊，其中20%目標為全球非政府組織、智庫或政治團體，其餘80%攻擊對象包括政府、IT、軍事、國防、醫療、教育及製造產業等。

資料來源：
https://www.zdnet.com/article/microsoft-russian-state-hackers-are-using-iot-devices-to-breach-enterprise-networks/
https://msrc-blog.microsoft.com/2019/08/05/corporate-iot-a-path-to-intrusion/
https://www.ithome.com.tw/news/132271
參考網站：
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=1628