臺灣多家主機託管商遭DDoS攻擊，元兇是國內IP疑大量DVR設備遭入侵

近日，臺灣有多家主機代管業者傳出遭到大規模DDoS攻擊，包括遠振資訊、捕夢網數位科技、匯智資訊與戰國策集團等其他多家業者，紛紛遇害，而且，目前攻擊仍持續不斷發生，導致這些業者所代管的網站服務都受影響。值得關注的是，由於攻擊對象是這些提供主機代管服務的業者，間接導致他們所代管的網站服務都受影響，更不容忽視的是，這段期間是同時多家業者都遭攻擊，由於臺灣有不少企業組織採用這類服務，面對這樣大規模且持續多日的攻擊態勢，等於有成千上萬的網站服務都受衝擊，值得國內政府單位與企業關注。

關於這次事件，最早公布遭DDoS攻擊的是遠振資訊，在最近連續三天都有發布相關公告。他們先是在20日，於自家網站證實遭受攻擊，而根據他們在21日揭露的資訊顯示，這次事件的發生，最早是從19日傍晚23時開始，隔日情況變得更嚴重，一日內就遭遇3波攻擊，早上、下午與晚上都有，每次都持續1到2小時。

這樣的狀況，已導致國內不少企業組織的網站服務受影響。例如，我們發現兒童福利聯盟（兒福聯盟）在21日於臉書上貼文，表示該組織官方網站因主機故障以至於無法連線，相關網站也處於同樣狀況，包括愛孩子小舖、兒少權益網、小舵手助學計畫，以及助我長大幫我找家等。此事件是否與上述DDoS攻擊有關？我們在今日（23日）上午向兒福聯盟詢問，他們表示所申租的主機商是遠振資訊，而他們的網站主要是21日受影響情況嚴重，到了22日則時好時壞。從時間點與受影響的狀態來看，應該就是受到遠振遭受DDoS攻擊的影響。

在這波DDoS攻擊之下，由於提供主機代管服務的業者遇害，連帶影響的是各個租用服務的國內企業或組織，像是兒福聯盟就是一例。

不僅如此，在遠振資訊的臉書粉絲專頁上，我們也看到不少網友對於此事留言，顯示了這次災情的衝擊相當之大，除了企業網站，郵件與電商業務也因此受影響，例如，有人表示今天一整天已無法接受訂單及出貨，也有人說，他有4臺經銷主機，上百間客戶同時掛點。

更引發關注的是，這波DDoS攻擊的對象不只是一家國內主機商，其實多家業者同樣受害。在22日下午16時，捕夢網數位科技在該公司臉書粉絲專頁發布公告，說明正在面臨DDoS攻擊，因此網路無法順利連線；接下來，戰國策在今日凌晨0時50分，也在他們的臉書粉絲專頁表示，機房正連續遭受DDoS攻擊。此外，我們在今日早上11時30分也發現，戰國策的官方網站也已無法開啟。

有業者已遭受10多波攻擊，攻擊最大量達15Gbps

由於DDoS攻擊不停發生，遠振表示已經能夠清洗因應，不過也有業者坦承束手無策。不論業者能否因應，此事也引發國內許多用戶的擔憂，因為已經造成用戶主機連線緩慢或網站異常，到底廠商是否妥善處理？攻擊來源為何？都是眾人關注焦點。

對此，遠振資訊技術長吳尚儒表示，該公司遭遇攻擊的時間是從9月19日晚上開始，至今攻擊仍持續，每隔幾小時就發動一次，總計已有10多波攻擊，而每次攻擊量在數Gbps到15 Gbps之間。

吳尚儒表示，這波DDoS攻擊帶給他們較嚴重的災情，是在20日與21兩日，影響範圍遍及他們所管理的數千個IP位址。在因應方式上，他們已藉由DDoS流量清洗服務過濾，而他們觀測到的攻擊內容，從較單純的各式洪水式攻擊（flood attack），到複雜的第7層（Layer 7）攻擊都有發現，且攻擊者會轉換攻擊方式，其中當Layer 7的攻擊發生時，由於他們需進行模式識別，再配合清洗中心針對特定模式來處理，因此容易出現短暫服務不穩定的情況。此外，他也提到將選擇國外的清洗服務，以及與遠傳等上游ISP業者，一起商討解決方案，並表示他們日後將強化應變能力。

關於這波DDoS攻擊，遠振資訊指出，這波攻擊是從9月19日23時開始，在20日與21日為他們帶來極大影響，隨著他們持續透過清洗服務來因應，現在已經好轉。但他們也觀察到攻擊者會轉變DDoS攻擊方式，包括使用Layer 7的攻擊。（圖中時間為UTC）

在9月20、21、22日，遠振資訊持續發布遭受DDoS攻擊的最新狀況，其中22日的公告說明了較詳細的現況，包括對用戶說明處理狀況與後續補償，並統整相關用戶的問題。

另一家業者捕夢網，也說明了他們觀察到的攻擊現況。該公司技術長趙永弘表示，對於DDoS攻擊，如果是來自國外的攻擊，主機業者應該容易有相對應的防禦措施，像是他們可以在攻擊活動發生時，暫時阻擋國外IP位址，但這次DDoS的攻擊來源都是國內IP位址。對此，他們請中華電信協助因應，不過，他們發現有近一半比例的攻擊來源，是來自臺灣固網。

而根據他們的進一步追蹤，目前蒐集兩三千筆攻擊來源的IP位址，有很大比例是視訊監控錄影主機（DVR）。顯然這些設備已經遭受殭屍網路控制，並持續對國內主機代管商發動攻擊。

而這些DVR設備被入侵的原因，趙永弘表示，包括用戶使用了過於簡單的密碼，並有很多是開啟Telnet服務，使得入侵難度大幅降低。

對於這次DDoS攻擊帶來的威脅，趙永弘認為，國內各大電信服務商（ISP）需要正視這樣的問題，因為他們遭受的是來自臺灣的攻擊，這會讓不少業者無法招架，而且攻擊可能還會持續發生。那麼，各方該如何解決？他的看法是，不只是DVR業者要盡快修補漏洞，DVR用戶也應修補、更換密碼，並重新開機，另一方面，則是透過ISP業者，針對惡意攻擊封包進行阻斷。

除了設法阻擋及清洗流量，現階段業者還能怎麼做？目前，遠振資訊也已向警察局報案，而捕夢網也表示他們已通報NCC與調查局協助處理。不過，這些業者當前該如何提供防護，仍是用戶關心焦點。

另外，對於這波DDoS攻擊，我們也詢問到戰國策與匯智資訊，前者已公告但並未向我們答覆，後者則在今日（23日）晚間表示，這波攻擊尚未停息，因此目前不願多談。

在9月22晚間22時48分，捕夢網數位科技也在該公司的臉書粉絲專頁上，表示遭受DDoS攻擊，並指出攻擊來源是來自臺灣IP位址，並有大量是DVR設備。

在今日（9月23日）凌晨0時50分，戰國策集團也在他們的臉書粉絲專頁上表示機房連續遭受DDoS攻擊，但目前尚沒有像上述兩家業者提出更多說明。

繼國內券商之後，主機託管商集體遭DDoS攻擊

這次國內主機商集體遭DDoS攻擊，已是繼2017年13家國內券商遭攻擊之後，少有的大規模攻擊事件。值得關注的是，這次國內主機商是否會像之前券商一樣，遭到駭客勒索，要脅業者若不支付贖金將以DDoS癱瘓服務？

目前，根據遠振與捕夢網的回應，他們並未收到這樣的勒索訊息，至於其他業者尚待確認。臺灣電腦網路危機處理暨協調中心（TWCERT/CC）在今日（23日）下午也對此DDoS攻擊事件發出提醒公告，當中並提到有些網管人員討論區，已經出現有關於此事件的情報，只是他們認為訊息還要進一步查證，例如，有人分享疑似勒贖者的對話，要求受害者支付每月100美元的贖金。

對於臺灣多家主機代管商遭DDoS攻擊的現況，臺灣電腦網路危機處理暨協調中心（TWCERT/CC）在今日也發布與這次事件有關的消息，並建議使用各式DVR或IoT設備的用戶，啟用設備時就要更改管理介面預設密碼，隨時更新軟體或韌體，以及發現自己的網路有不正常的大量對外連線時，必須即刻處理。

今年DDoS攻擊趨勢值得關注，不解決日後還有其他產業可能受害

無論如何，這樣DDoS的攻擊趨勢不能被忽視，近期在國際間，也有嚴重的事件發生，例如，在一個月前，紐西蘭證券交易所（NZX）就曾發生至少連續五日遭受DDoS攻擊的狀況，造成多次交易停擺。而在這個月初，美國FBI也警告，指出勒索式DDoS正猖獗，全球已有數千家企業收到勒索通知，是駭客要求業主支付贖金，不從就會發動DDoS攻擊。

至於捕夢網提到國內DVR設備淪為DDoS攻擊來源的問題，我們在今年初也報導相關事件。例如，在今年1月16日，臺灣學術網路危機處理中心（TACERT）曾發布相關漏洞預警，指出可取國際（iCatch）DVR攝影主機遭網路惡意入侵，對外進行DDoS攻擊，該公司也在同日於官方網站發出資安通報，表示將提供安全性升級，並要用戶注意修補。兩個月後，利凌企業（Lilin）也出發布資安公告，提醒數款DVR用戶盡速修補更新，而揭露此事的資安業者，也說明發現攻擊組織鎖定該公司產品漏洞以散布殭屍網路，並分析其DVR產品存在登入帳號密碼寫死在韌體，包括root/icatch99與report/8Jg0SR8K50，這兩組帳號密碼，當時我們認為與供應鏈生態系有關，因為寫死在韌體的帳密與iCatch產品一致。而這次事件的主機商也透露，他們正關注國內另一間環名（HME）DVR產品的狀況。

這些事件也持續受到關注，例如，在今年8月舉行的臺灣資安大會上，中華電信也曾揭露本土DDoS攻擊最新災情數據，當時也有提到今年DVR受駭IoT裝置韌體分析，而在9月舉行的HITCON 2020，我們在現場也看到有專家針對今年DDoS攻擊與IoT/DVR侵駭手法說明攻擊事件始末。

面對這樣的IoT攻擊趨勢，現階段仍需要製造商、用戶、ISP業者與執法單位，共同想辦法來解決。