親俄羅斯駭客對台灣證券交易所和銀行等機構發動攻擊

親俄駭客組織 NoName057 原已與 RipperSec 結盟, 9/17 另新增一加盟者 Red Eagle Crew                                                

Photo Credit: Telegram

據報導,上週親俄羅斯駭客組織曾短暫地造成了台灣重要的金融服務平台中斷,包括證券交易所和大型金融控股公司網站,這次事件也暴露出了台灣在面對國外網路攻擊時的弱點。

台灣數位發展部 (MODA) 表示,親俄羅斯駭客組織上週針對 45 家台灣機構及單位發起分散式阻斷服務 (DDoS) 攻擊,其中包括政府機構和金融公司。

數位發展部部長黃彥男於記者會中表示,親俄駭客組織利用由伺服器控制的殭屍電腦網路來發動 DDoS 攻擊,除了台灣之外,攻擊目標還包括美國、加拿大和歐盟的重要基礎設施。

親俄駭客組織NoName057聲稱對台灣政府機構、金融公司和台北松山機場等目標發動了攻擊。據統計,台灣共有45家機構及單位受到了攻擊,不過影響是短期性的,大多數機構很快就恢復了正常運作。

受到影響的機構包括交通部航港局、地方稅務機關、中央政府高層機構、軍事單位包括憲兵指揮部、以及中華電信、國營及公股的金融和證券機構。另外私營企業方面,則以銀行為主要目標。

即時通訊軟體Telegram 上代號為「NoName057」和「RipperSec」的兩個組織上週四下午利用所謂的分散式阻斷服務 (DDoS) 攻擊癱瘓了目標網站,引發平台連線不穩定的問題。台灣證券交易所表示,在此次事件中,證券交易所偵測到來自海外網際網路協定位址 (IP address) 的網路查詢量比平常大上好幾倍。

雖然證券交易所在半小時內隨即恢復了正常運作,但這起事件也暴露出了台灣資訊網路平台的潛在弱點。台灣是全球最大的先進半導體生產國家,也是中美衝突的潛在爆發點。

上週五政府網站和交易系統已恢復正常運作。 DDoS 攻擊是屬於一種惡意性嘗試,透過癱瘓目標或其周圍基礎設施來中斷目標的伺服器、服務或網路的正常流量。

數位發展部最新聲明中表示,「關於NoName057和RipperSec的攻擊,有關當局正蒐集最新資訊,並採取必要措施。」台灣的內閣辦公室也發表譴責,聲稱網路攻擊者不僅在島內引發事端,而且影響範圍擴及整個鄰近區域。

數發布部也證實了本地媒體稍早的報導,並引用Radware研究人員的分析,親俄羅斯組織於Telegram上聲稱參與了此次攻擊事件,其中一個名為 NoName057 的組織在他們的Telegram頻道上說明了之所以針對台灣的原因。

隨著時間推移,事件並未停歇,竣盟科技 觀察到,結盟參與攻擊的駭客組織有所增加,新加盟的是一個稱作Red Eagle Crew的駭客組織。值得注意的是,Red Eagle Crew 在這一波新的攻擊中將 DDoS 攻擊目標鎖定於台灣的私人企業,而非政府相關部門。

Photo Credit: Telegram

此外根據最新消息來源 (NoName057駭客組織於Telegram上發布之訊息),最近遭遇到攻擊的單位還新增加了高雄市警局、彰化市政府以及員林市政府,短期內仍需密切關注並謹慎防範。

近年來,隨著台灣的戰略重要性日益增加,也使得台灣愈來愈頻繁地受到來自國外的網路攻擊。思科系統 (Cisco Systems) 的資安研究人員於八月時表示,一個據信與中國政府有關聯的駭客組織從台灣政府所屬下的一家電算研究中心盜取了密碼和文件。

NoName057駭客組織相關的部分的入侵指標(IOCs):

01e2ad9b3069b939594ceae2e4fe694b
0465303c561129698304db1a57396c4b
0f4bd50d057d8f5d279113a3ca5445f7
116ff8c13afee6f906be41ec4b4833ea
1213e1d1bffbe6b514af16de6d0e0f4b
121c453f795e903d4c91012ea2566ca4
12215d3dc6583f4d47dd306f3237d372
13802ced91f97122e3bc230474c17fec
1afa90293565a1e2a72d5062c1674451
1eb6fddaef31d557f07e829a496e29ba