卡巴斯基Duqu 2.0攻擊調查:駭客盜用鴻海憑證入侵公司網路


竊取並冒用他人有效憑證似乎是Duqu背後駭客集團的慣用技倆。卡巴斯基表示,雖然無法證明這些廠商曾經被入侵,但可以確認的是,Duqu攻擊者特別偏好硬體廠商,從2014、2015年的感染研究可以證實,所觀察到的感染都和亞太地區的電腦設備硬體製造廠商有關。

文/林妍溱 | 2015-06-16發表

卡巴斯基(Kaspersky)日前發現公司網路遭Duqu 2.0 APT攻擊病毒入侵,經過調查卡巴斯基發現,背後的駭客集團盜用鴻海憑證來駭入該公司內部網路。

上周卡巴斯基表示,發現名為Duqu 2.0的病毒潛入公司內部網路,取得公司的技術及研究資料。這隻病毒只感染系統記憶體,且只在記憶體中就可發動間諜活動,即使用戶重開機仍無法消除,研究人員並認為其思維領先現有其他APT攻擊者一個世代。

卡巴斯基實驗室(Kaspersky Lab)全球研究及分析團隊在分析Duqu 2.0的攻擊策略時發現,駭客在其防火牆、閘道,及其他伺服器上植入惡意驅動程式,之後分別在防火牆內外導引網際網路流量和企業內網路的存取,藉此可透過網際網路存取內部基礎架構的資料,並避免在代理伺服器留下記錄。但是因為在64-bit Windows系統上安裝驅動程式,必須要有Authenticode數位憑證。卡巴斯基發現這個驅動程式是以來自鴻海的憑證完成有效的數位簽章。也就是說,攻擊者可能竊取了鴻海的憑證,再用來簽發自己的惡意軟體。

研究人員指出,鴻海客戶遍及科技業龍頭,包括思科、Dell、HP、Google、蘋果、Sony及Toshiba等。而同樣的憑證鴻海在2013年二月也用於Dell筆電的多個WatchDog Timer Kernel 驅動程式(WDTKernel.sys)的簽章。卡巴斯基已經通報了鴻海及發出憑證的VeriSign。

不只是Duqu 2.0,其前身Stuxnet及Duqu,也都有獲得數位簽章的惡意程式,曾經用過像是智微科技(Jmicron)及瑞昱(Realtek)的憑證。竊取並冒用他人有效憑證似乎是Duqu背後駭客集團的慣用技倆。卡巴斯基表示,雖然無法證明這些廠商曾經被入侵,但可以確認的是,Duqu攻擊者特別偏好硬體廠商,從2014、2015年的感染研究可以證實,所觀察到的感染都和亞太地區的電腦設備硬體製造廠商有關。

卡巴斯基還發現,Duqu駭客集團手中的憑證並未外流,因為這些憑證都只用來發動單一攻擊,並沒有其他駭客集團使用。但這也表示,這些駭客會為了日後的攻擊行動向其他製造業者竊取憑證。(編譯/林妍溱)

 


解決方案: 使用HSM來保護金鑰及憑證

更多訊息



回首頁