駭客在黑市兜售全球逾30個國家，4萬個政府服務的用戶帳密

俄羅斯資安業者Group-IB本周指出，該公司發現駭客在黑市兜售全球超過30個國家的線上政府服務的逾4萬名員工驗證資訊（Credentials），例如帳號與密碼，這類的使用者憑證在黑市出現的機率並不高，推估買家若不是網路犯罪者，就是由各國政府所支持的駭客集團。

這些驗證資訊絕大多數來自義大利，佔了52%，也有22%來自沙烏地阿拉伯，以及5%來自葡萄牙。這些憑證可用來存取波蘭、羅馬尼亞、法國、瑞士、保加利亞、匈牙利或克羅埃西亞的政府入口網站，或是羅馬尼亞外交部網站、義大利外交部網站、義大利國防部網站、以色列國防部網站、喬治亞財政部網站及挪威移民局網站等。

研究人員分析，駭客應是藉由網釣郵件來散布間諜程式，這些網釣郵件夾帶著偽裝成合法的檔案，一旦開啟就會在受害者的電腦上植入間諜程式或鍵盤側錄程式，如Pony Formgrabber、AZORult與Qbot。

其中，Pony Formgrabber可從受害者電腦上的配置檔案、資料庫或秘密儲存空間竊取登入的驗證資訊，再傳送到駭客所掌控的命令暨控制（C&C）伺服器；而AZORult不只可從主流的瀏覽器中竊取憑證，還能竊取加密貨幣錢包的資料；Qbot則會從受害者的鍵盤輸入蒐集登入的帳號密碼等認證資訊。

Group-IB指出，取得政府網站的員工帳密之後，駭客不只能從這些網站找到機密資訊，還能滲透政府網路，就算只有一名政府員工的帳密外洩，都可能造成商業或政府機密的外洩。