上周媒體報導法務部系統遭網軍入侵,導致檢警偵辦重大案件的資訊、被害人資料外洩等一事,事涉近期新聞人物因此引發軒然大波。隨後法務部也發出聲明指出,此次確實有部份個人電腦遭受攻擊,但無報導所言一審辦案系統資料外洩及延誤通報一事。事發之後,法務部目前正在著手規劃更嚴謹的存取權限隔離機制,以防事件擴大影響範圍。
法務部資訊處副處長鄭輝彬表示,此次事件是在本(9)月初接獲調查局通知法務部內有個人電腦疑似遭入侵,並且對外傳送資料。由於此次攻擊整個傳輸通道及內容均有加密,因此調查人員雖然在7月就發現有異常,但花了一段時間解密才得知是法務部的電腦並主動通知。而駭客在入侵之後是透過443 port一點一滴將資料往外送,監控系統也難查覺到異常,且此次的中繼站也不在N-SOC的現有清單中。「此次攻擊,現有入侵防禦、防毒軟體等機制都沒有發出警告/通知」他說。
目前,針對特定對象的APT進階持續威脅正是利用0 day弱點來進行攻擊,因此可繞過現有資安防護的偵測。鄭輝彬進一步說明,就算想透過系統日誌來早一步發現事件並調查,但駭客卻用單一事件event log來塞滿系統將重要足跡覆蓋過去。現階段,會先將高權限使用者與一般權限使用者的電腦做實體隔離,以防駭客從旁邊入侵取得一般權限後,又安裝鍵盤側錄程式取得其他系統權限。另一方面也會評估APT解決方案。
道高一尺、魔高一丈,現在的目標式攻擊手法越來越刁鑽,各種冒充長官寄發的社交工程郵件,即使再多的演練也讓使用者很難不開啟。FireEye北亞區技術經理林秉忠認為,教育使用者不要亂點、亂開郵件已經不夠,企業需要主動式防禦的過濾機制,同時修補程式、防毒軟體時時更新到最新,即使無法杜絕零時差攻擊,但也是可以讓駭客多花點時間進行攻擊的方式。