https://www.informationsecurity.com.tw/Seminar/2024_TCM/
https://www.informationsecurity.com.tw/Seminar/2024_TCM/

觀點

國家級的網攻!針對半導體製造業的勒索軟體攻擊將持續並產生重大影響

2022 / 10 / 05
編輯部
國家級的網攻!針對半導體製造業的勒索軟體攻擊將持續並產生重大影響
Recorded Future發佈報告指出,自今年年初以來,已有八家半導體公司遭到勒索軟體攻擊者的攻擊和勒索。這些攻擊由Lapsus$ Group和 RansomHouse等勒索組織進行,使用包含LockBit、LV勒索軟體和Cuba勒索軟體。

Recorded Future 報告的6大發現:
  1. 現今資訊技術驅動的全球化經濟中,半導體製造業是一個關鍵行業,這讓它成為勒索軟體攻擊者和集團的主要目標。
  2. 勒索軟體威脅者在對半導體公司的攻擊中使用了各種攻擊策略及戰術。其中包括使用惡意軟體加密資料;以洩露資料為威脅的勒索;原始程式碼和智慧財產權的發佈;使用竊取的代碼簽章憑證為惡意軟體簽名;以及向行業競爭對手或敵對國家出售專有資料的可能性。
  3. 勒索軟體威脅行為者的動機多樣,從純粹的經濟利益驅動、尋求刺激,到可能的戰略性竊取智慧財產權。
  4. 雖然報告裡分析的針對半導體公司的網路攻擊都與國家組織沒有直接聯繫,但行業報告發現,由國家支持的威脅行動者偽裝成勒索軟體組織,並使用至少5種勒索軟體變體進行網路間諜活動,如:LockFile、AtomSilo、Rook、Night Sky和Pandora。
  5. 在大多數情況下,勒索軟體攻擊者得以成功攻擊多半因為不完善的資安策略,從而導致資料和資訊的外洩。
  6. 由於對半導體主導權的競爭是多國之間的經濟競爭核心,針對半導體公司的網路攻擊和工業間諜活動很可能會繼續。

國家級的網攻

Recorded Future的報告認為,在當前半導體晶片短缺的情況下,半導體行業的任何延誤或中斷都將對全球各行業的生產能力產生不利影響,並可能導致全球經濟狀況惡化。反過來,這也可能導致未來的社會動盪和經濟困難導致的政治轉變,這將有利於某些國家的政治、軍事、經濟和技術利益。

報告指出,俄羅斯和北韓有政治意圖和技術能力對美國及其盟國,特別是台積電和三星等一級半導體公司進行網路攻擊。可以預見的是,攻擊者不僅會直接針對這些半導體公司,還會針對他們的合作夥伴公司、客戶和原料供應商進行網路攻擊。

2022年,Recorded Future觀察到AMD和NVIDIA分別遭受了資料盜竊和勒索。AMD在1月份遭到RansomHouse組織的襲擊,NVIDIA在3月份遭到Lapsus$ Group的攻擊和勒索。Recorded Future還觀察到包括三星、Ignitarium、Diodes Inc.、Etron Technology、SilTerra Malaysia Sdn. Bhd. 在內的半導體製造商均遭遇安全事件。SilTerra 和Semikron 在2022年迄今已受到勒索軟體攻擊的影響。
自今年年初以來,已有八家半導體公司遭到勒索軟體攻擊者的攻擊和勒索。
Recorded Future表示,根據他們的研究,發現對半導體公司的攻擊不一定是由勒索軟體組織直接進行的,而是使用勒索軟體即服務 (RaaS)和雙重勒索進行的。包括Conti、LockBit和REvil,都採用了RaaS模式,其附屬機構使用現成的工具,執行勒索軟體攻擊,並從每次成功支付的贖金中賺取一定比例。RaaS使沒有高水準技術專長的威脅行為者能夠發起和執行他們的攻擊。

在大多數情況下,不良的資安策略與措施導致勒索軟體攻擊者成功攻破最初的存取,從而導致資料和資訊被盜。美國政府目前並未將半導體行業定義為關鍵基礎設施行業,也未明確將其列入關鍵製造業。但是,隨著人們對半導體戰略重要性的日益認可,以及美國政府支援國內晶片生產的計畫,Recorded Future認為很有可能美國政府未來可能將半導體公司歸類為關鍵基礎設施行業,這將成為阻止勒索軟體相關公司針對該行業的新威懾。

勒索軟體攻擊者使用的策略、技術和程式 (TTP)

由於半導體是智慧手機、電腦、汽車、電器、電視和先進醫療診斷設備等電子設備的核心,因此對半導體行業的任何干擾都可能影響所有其他製造業。

Recorded Future透露,勒索軟體駭客在攻擊半導體公司時包括使用惡意軟體加密資料、通過資料暴露威脅進行勒索、發佈原始程式碼和智慧財產權、使用竊取的簽章憑證對惡意軟體進行簽名,以及將專有資料出售給商業競爭對手或敵對國家。

據Recorded Future報導,勒索軟體威脅行為者的動機範圍從純粹的經濟利益到尋求刺激,再到可能的戰略性智慧財產權盜竊。雖然這裡分析的針對半導體公司的網路攻擊都沒有與國家組織直接相關,但行業報告發現國家資助的威脅行為者偽裝成勒索軟體組織並使用至少5種勒索軟體變體——LockFile、AtomSilo、Rook、Night Sky和Pandora——進行網路間諜活動。

幕後真正的「黑手」

Recorded Future還表示,國家駭客可能已經與RaaS提供者掛勾,並正在使用不同的勒索軟體系列進行網路攻擊,其主要目標是從半導體公司竊取 智慧財產權。通過這樣做,這些民族國家的威脅行為者可以使用現成的勒索軟體來加密和竊取資訊,並使網路攻擊看起來像是來自勒索軟體組織的攻擊。

隨著針對關鍵基礎設施和半導體公司等備受矚目的目標的攻擊在全球範圍內引起公眾關注,真正背後的威脅組織通常以匿名運作,轉而將攻擊歸咎到勒索軟體組織。

Recorded Future表示,半導體行業的激烈競爭是臺灣乃至整個亞太地區地緣政治鬥爭的核心。報告認為不排除特定國家參與這些針對半導體公司的勒索軟體攻擊的可能性。同時國家級駭客也可能隱藏在勒索軟體運營商及其附屬機構的幕後,不太可能對半導體公司的智慧財產權和資料盜竊負責。為國家利益運作的威脅組織,已經利用多種勒索軟體來加密、竊取或破壞IP資料。

本文節錄自Secrss.com。