台7家半導體公司 爆遭陸黑客侵入
指晶片設計圖被看光光
【明報專訊】一個客戶的意外發現,讓台灣資安公司奧義智慧查出:至少有7家台灣半導體相關公司被中國黑客攻擊,部分案例潛伏時間甚至超過1年,連晶片設計圖、技術藍圖等文件都淪陷。
台媒報道指,知名黑客、同時也是資安新創公司奧義智慧共同創辦人吳明蔚,從來沒想過他們所發布的一篇報告,會讓他的手機和公司電話史無前例地響個不停,接到美國、巴西、印度、德國等海外記者密集來電,問他:「凱美拉(Chimera)行動究竟是怎麼回事?」
因為8月6日,奧義智慧在全球「黑帽黑客大會」上,以多達73頁的簡報發表「凱美拉行動」,揭露中國黑客正針對台灣半導體供應鏈進行滲透,試圖竊取營業秘密。
抓出中國Winnti「傳令兵」
吳明蔚解釋,台灣半導體行業正被中國黑客集團Winnti鎖定攻擊,今年來,竹科至少有7家半導體相關公司被黑客攻擊,其中某IC設計公司內網不但有黑客潛伏超過1年,其晶片產品設計圖等文件都被攻陷、閱覽。
最重大的證據,就是他們在台灣受害者供應鏈被植入的惡意程式中,發現Winnti常用的特殊後門惡意程式「baseClient.exe」。「我們從這個後門內的程式碼辨識出就是Winnti行動,」吳明蔚說,「該後門這就像戰場上的『傳令兵』,我們後來發現這個傳令兵的存在並且破解它,發現baseClient後門會把資料往回傳,會講Winnti protocol(Winnti傳輸協定)。」
吳明蔚將今年密集出現的中國黑客持續性滲透威脅,稱之為「凱美拉」黑客行動。
某IC設計公司資料外洩9次
時間拉回去年12月中旬,吳明蔚透露,竹科某知名半導體廠C找上奧義科技,指出他們和供應商B公司要進行業務合作,雙方在安全網域下準備聯網交換業務文件,一連卻感覺B供應商的網路,會出現異常行動。
C公司委託奧義幫供應商進行資安鑑識,結果赫然發現,供應商B已被滲透1年以上,至少被埋下10個惡意程式,黑客從2018年8月開始就一直在B公司的網域內來去自如,登入認證並觀看文件。
「這個黑客還相當有紀律,每3個月就進來打包資料帶走,像在做季報一樣,」奧義智慧資深研究員陳仲寬解釋,B公司至少被侵入9次,部份晶片專案的技術藍圖(roadmap)、晶片軟體開發套件等技術文件都被看過,但B公司完全沒有察覺、文件也沒被破壞,黑客「顯然不是以破壞公司營運為目的,而是很明確地潛進來偷商業機密。」
但黑客到底是怎麼進來的?奧義將這些黑客命名為「凱美拉」,原因在於:凱美拉是希臘神話中會噴火的怪物,上半身像獅子、中間像山羊、下半身像毒蛇、嘴媮椇Q火,後來被遊戲動畫衍伸為力量強大的合體怪獸。
陳仲寬說,中國黑客的手法就像凱美拉一樣,混合不同的原始碼惡意程式,如Dumpert及有「超級瑞士刀」之稱的Mimikatz等,再透過公有雲平台當中繼站,從微軟系統相關程式更新、或遠距NB等多種管道,侵入公司內網。
黑客作息符合中國「996」常態
奧義4月發布凱美拉報告,吸引竹科其他公司也來詢問。奧義5月後陸續調查別家公司,這才發現:竹科已有至少7家半導體相關行業公司都遭遇黑客攻擊。
除了前面所提的Winnti後門「傳令兵」,後來也發現,有些受害者被植入的程式碼還夾雜簡體中文。吳明蔚因此判斷,背後有Winnti成員在內。吳明蔚觀察,凱美拉的行為模式符合中國科技業工作常態「996」,亦即上午9點工作到晚上9點、一周工作6天,且會在中國大陸的假日(如農曆春節、十一長假、大陸特殊節日)休息。
