重 點
● 中國網軍用惡意程式啟動Word巨集功能來竊取機密
● 只有重灌電腦才能完全清除該惡意程式
許多政府部門都自建或委外成立資安監控中心(SOC),資安廠商數聯資安所成立的資安監控中心,目前則負責定期監控臺灣100個一、二級政府部門的資安動態。
數聯資安技術處副總經理張裕敏表示,從今年3月~9月的觀察發現,中國網軍針對政府部門發動數波新型態「兩階段」網軍攻擊手法,第一階段先設法讓使用者植入惡意程式後,到了第二階段,該惡意程式會開啟Word巨集,啟動遠端圖片下載的巨集功能,在使用者呼叫圖片下載的同時,這時間可以再下載其他惡意或後門程式,也可同時外洩該臺電腦的機密資料。
張裕敏表示,中國網軍對於臺灣政府部門相關人員的資料情蒐非常精準,情資精確性甚至已經可以清楚掌握想要監控的特定使用者,到底是使用哪一個單位的哪一臺電腦。
也因為中國網軍對於臺灣情報掌握非常精準,中國網軍便可以針對特定監控對象發動各種社交攻擊,只要能夠突破使用者心防,讓使用者收信、點擊惡意程式後,便可以趁機植入中國網軍針對特定對象或需求所設計的惡意程式。
「這樣攻擊手法可以成功,一般都是瀏覽器安全性修補不完全所致。」張裕敏指出,尤其臺灣政府部門普遍都使用IE瀏覽器,這次中國網軍的攻擊手法能夠成功,也都是利用IE瀏覽器安全性漏洞所造成的。根據數聯資安資安監控中心的統計,此次包括IE 6和IE 8的瀏覽器,都成功被中國網軍這支惡意程式攻陷過。
中國網軍第一階段先攻陷特定對象的電腦,並植入惡意程式後,接下來就發動第二階段的攻擊。由於微軟在Word 2000推出時,為了便利性而將Word巨集預設開啟而造成許多資安風險後,微軟之後都將Word巨集預設關閉,並且啟用最高安全性。
但是,張裕敏表示,當使用者的電腦被植入這支中國網軍的惡意程式後,這支病毒會將預設關閉的Word巨集偷偷開啟,並且將原本預設的安全性,更改調降為最低安全性。
惡意程式修改過Word巨集的安全性後,若使用者再打開攻擊郵件的附件Word檔時,就會啟動第二階段的攻擊。張裕敏說:「會啟動Word巨集呼叫圖片功能來下載其他惡意程式,或者將電腦內的機密資料外洩。」
張裕敏發現,即使他已經寫了一支可以清除該惡意軟體的掃毒程式,「只要該使用者下次再收到有問題的Word文件,包括Word XP到Word 2010,先前曾經中毒過的電腦,一定還會再次中毒。」他說,過去半年中,已經有不少政府機關曾被這樣的攻擊手法攻陷。
這支專偷臺灣政府機關機密資料的惡意程式,會定期將使用者電腦中的機密文件外傳到某些中國網段上的特定網站,造成臺灣政府機密資料外洩的風險。
因此,張裕敏呼籲所有政府部門的電腦使用者,都應該主動檢查Word巨集是否被開啟,只要發現Word的安全性已經被調整到最低安全性,就可以視為該臺電腦已經被植入這支中國網軍開發的惡意程式。他說,中了這支中國網軍惡意程式的電腦,只有單純清除電腦中的惡意程式還不夠,一定要進行電腦重灌才比較安全。此外,他說,採用其他自由軟體的文件應用程式,例如OpenOffice,也是一個替代方案。
P.S.轉貼自IThome
