中國全運會前遭駭客駭入伺服器

安全研究人員發現去年9月的中國全國運動會（全運會）舉行前，遭一群不知名的駭客駭入一臺伺服器，植入後門程式暗中蒐集資訊，不過主辧單位及時發現並清除。

中國全運會於2021年9月15日在陝西省舉行，當時全運會IT部門公布一份報告，指其在大會前遭到攻擊，不過也在會前發現並予以清除。Avast研究人員David Álvarez隨後結合蒐集到的惡意程式樣本，但由於資訊不足而無法確認來源，僅能判斷可能是以中文為母語，或是精通中文的人士所為。

分析顯示，攻擊者於8月底到9月初展開行動。他們先是利用網站伺服器的漏洞來存取系統，並上傳不同檔案型態及同一主檔名、不同副檔名的檔案，像是ico、lua、js、luac、txt、html及rar等，以釐清伺服器允許和封鎖的檔案型態。之後他們開始上傳PoC而非真正的濫用程式，這是因為PoC較隱匿且可測試可行的惡意程式碼。攻擊者上傳偽裝成圖檔像是JPG及PNG檔，在網站上測試不同web shell及上傳惡意組態檔。

最後，攻擊者在伺服器上執行Tomcat伺服器，並且以中國常見的webshell Rebeyond Behinder武裝化。他們也成功上傳漏洞掃描工具fscan、mssql-command-tool、dnscrypt-proxy，以及單一點擊的濫用框架。透過fscan及濫用框架，駭客只要輸入一個或一群IP位址，即可自動化執行所有濫用步驟。

研究人員分析，這工具包含支援多種網路軟體（如IBM、JBoss、Outlook、BIG-IP、Tomcat）、服務（ssh、smb、redis、mysql、mssql、FTP），以及可暴力破解密碼的元件，他們相信這讓攻擊者得以駭入同一網路下的所有電腦系統。

大型賽事引來駭客攻擊不是新鮮事。去年東京奧運期間，東奧官網及網路共遭遇4.5億次網路攻擊，規模是倫敦奧運的2倍。此外也有假冒東京奧運文件的惡意軟體Wiper以攻擊日本用戶。