10政府機關遭「駭」　調查局公布11個惡意網域籲封鎖

經濟部投審會等10個政府機關，從2018年起陸續發生駭客入侵攻擊案，調查局19日表示，經長時間溯源調查，攻擊政府機關的駭客來自大陸，利用政府機關提供遠端連線桌面、虛擬私人網路(VPN)登入等機制，植入惡意程式進行攻擊，調查局並公布manage.lutengtw.com等11個惡意網域，供國內機關檢查、封鎖，呼籲機關要加強資安防護。

外包浮濫 省成本輕忽防護

調查局資安站分析被攻擊的政府機關，發現一個共同特點，機關內的資訊工作，包括軟體開發或網站維護等，都委外承包，雖然節省了預算，但廠商將本求利，在節省成本的考量下，輕忽了資安維護，給了駭客可乘之機，找到漏洞進行攻擊。

駭客組織很清楚政府機關為求便利，常提供遠端連線桌面、VPN登入等機制，提供給委外資訊服務廠商進行遠端操作與維運，且國內廠商大多缺乏資安意識與吝於投入資安防護設備，也沒有配置資安人員，所以形成資安破口，讓駭客有機可乘，最後「毀屍滅跡」，清除掉所有入侵的相關軌跡。

資安站副主任劉家榮表示，溯源追查發現攻擊來自大陸的駭客，包括MustangPanda、APT40及Blacktech、Taidoor等4個駭客組織，手法大致可分為2類，MustangPanda、APT40主要是竊取VPN帳密，入侵機關內部主機或伺服器，植入SoftEtherVPN等惡意程式「鳩佔鵲巢」成為具有管理權限的帳號，再攻擊資訊廠商代管政府機關的網站、郵件伺服器。

Blacktech、Taidoor的攻擊手法更惡劣，先鎖定台灣還沒修補CVE漏洞的網路路由器設備，利用家用路由器資安防護微弱，取得路由器控制權作為惡意程式中繼站，再攻擊國內資訊服務供應商或政府機關的對外服務網站，成功滲透內部網路後大量竊取資料傳輸到駭客組織。

溯源調查 追出4個攻擊組織

調查局強調，目前已經查獲的惡意網域，包括manage.lutengtw.com、dccpulic.lutengtw.com等11個。資安站將這些惡意網域公布，供國內機關自我檢查並加以封鎖避免進入惡意網域。