【資安日報】2022年3月4日，駭客入侵烏克蘭政府網站散布該國宣布投降的假消息、勒索軟體Conti與Karma攻擊相同醫療機構

俄烏戰爭已經來到了第8天，相關的網路攻擊行動也在持續，其中，相當值得留意的是，已有駭客竄改烏克蘭地方政府的網站，想要散布烏克蘭已經投降的訊息，而使得該國多個軍情單位提出警告。

在戰爭中扮演重要角色的衛星，在提供我方相關的通訊和定位之際，對方也有可能藉此竊取情資而左右戰爭態勢。馬斯克日前向烏克蘭提供星鏈（Starlink）網路支援，但在近日卻要烏克蘭謹慎運用這項服務，留意衛星可能潛藏的軍事危機。

勒索軟體Conti的動態也相當值得留意。資安人員揭露發生於去年底的攻擊事件，特別的是Conit與另一個駭客組織不約而同對一家醫療機構下手，且都是利用ProxyShell漏洞進入到該機構的內部網路環境。

【攻擊與威脅】

俄烏戰爭已進行超過一個星期，傳出駭客竄改烏克蘭政府網站，想要動搖軍心的情況。烏克蘭國家特別通訊暨資訊保護局（SSSCIP）、烏克蘭安全局（SSU）指出，他們發現敵對陣營的駭客入侵地方政府網站，並宣稱烏克蘭已經投降，俄羅斯和烏克蘭即將簽署和平協議的謠言。而烏克蘭議會也提出類似的警訊，指出駭客挾持了赫爾松公共廣播新聞臺，也打算散布上述烏克蘭投降的謠言。此外，烏克蘭安全局也指控俄羅斯軍事情報局（GRU），利用Telegram頻道在散發不實訊息。

馬斯克要烏克蘭人小心使用衛星網際網路服務，因為有可能會成為俄羅斯攻擊目標

衛星在現代戰爭中為軍隊提供有關的追蹤，而具有重要的地位，例如，日前駭客宣稱駭入俄羅斯的衛星控制中心，恐影響該國軍隊戰力，而使得俄羅斯跳腳。但民用的衛星訊號也有可能遭到對手利用，而對防守方產生影響。

烏克蘭副總理Mykhailo Fedorov於俄烏戰爭開打後，向SpaceX執行長馬斯克（Elon Musk）求救，而得到這種透過衛星傳輸的星鏈（Starlink）網路支援，緩解部分網路基礎設施已遭破壞而無法通訊的情況。但現在馬斯克向烏克蘭提出警告，星鏈是目前在烏克蘭唯一非俄羅斯的衛星通訊系統，很有可能遭到鎖定，請務必小心使用，他甚至呼籲使用者應將天線擺放於遠離人們的地方，並且加以偽裝免得遭到破壞。

而衛星可能會被俄羅斯作為攻擊目標，並用於竊取烏克蘭軍事機密的情況，其實SpaceX火速提供服務之際，多倫多大學公民實驗室等多個單位就提出警告，因為，俄羅斯曾用這種訊號來在其他戰爭中追蹤對手。

俄烏衝突爆發後Telegram用戶數爆炸性增成長

日前在香港反送中示威活動裡，民眾所使用的加密即時通訊軟體Telegram，在俄烏戰爭也不時傳出被運用的消息。例如，烏克蘭用來招募IT軍隊，向俄羅斯的關鍵基礎設施發動網路攻擊；而俄羅斯也疑似用Telegram頻道發動情報戰，但實際的情況又是如何？資安業者Check Point指出，自戰爭爆發後，相關群組每天用戶人員增長約100倍，目前這些群組平均擁有20萬人，而意圖鎖定俄羅斯進行網路攻擊的群組，平均人數更突破25萬。

研究人員觀察到在俄烏衝突中，3種型態的Telegram用戶以爆炸性的速度增加，這些用戶包含了鎖定俄羅斯發動網路攻擊的駭客組織、以協助烏克蘭的名義募款的網路詐騙者，以及繞過主流媒體的戰爭新聞媒體等。他們呼籲Telegram用戶，要特別留意捐款詐騙的手法，並查核群組散布的新聞真實性。

烏克蘭宣稱取得12萬名俄羅斯參戰士兵名冊

參與戰爭的軍人個資落入敵營，很有可能影響軍隊士氣。根據烏克蘭新聞網站Ukrainska Pravda的報導，該國國防戰略中心取得俄羅斯出兵的軍人名冊，當中包含了軍人的姓名、護照號碼，以及所屬單位等資料，共有約12萬名軍人名列其中，此新聞網站新聞亦公布這份名單。

但根據The Register的報導指出，許多資安研究員比對這份名單後，仍無法證實是否為有效資料。而無論該名單內容的真實性為何，這樣的資料出現，還是有可能左右俄軍士氣，因為，無論士兵遭俘虜或是戰死，敵對國家可能會藉此找上他們的家屬秋後算帳。

殭屍網路DanaBot鎖定烏克蘭國防部發動DDoS攻擊

又是針對烏克蘭軍事機構的網路攻擊行動。資安業者Zscaler發現，近日有駭客鎖定烏克蘭國防部的郵件伺服器，利用殭屍網路病毒DanaBot發動分散式阻斷服務（DDoS）攻擊，但他們無法確定這是國家支持的駭客行為，或是個別駭客人士的攻擊行動。

針對攻擊烏克蘭政府機關的勒索軟體HermeticRansom，資安業者提供解密工具

駭客對於烏克蘭政府機關發動HermeticWiper資料破壞攻擊時，疑似為了誤導資安人員，他們同時在部分受害電腦投放勒索軟體HermeticRansom（亦稱PartyTicket）。但資安業者CrowdStrike發現，該勒索軟體具備透過以RSA加密演算法的2048位元金鑰，來加密受害電腦檔案的能力，但此勒索軟體卻出現加密實做上的缺陷，研究人員以此發布了可還原檔案的程式碼，隨後，防毒業者Avast則進一步提供具備GUI的解密工具。

勒索軟體Conti與Karma攻擊同一醫療機構

多個勒索軟體駭客組織同時埋伏、發動攻擊，恐讓防守方更難以招架，而駭客入侵受害組織的管道，竟是未修補的已知Exchange Server漏洞。資安業者Sophos揭露發生於2021年12月的勒索軟體攻擊事故，位於加拿大的醫療機構接連遭到2個勒索軟體組織Karma、Conti下手，兩者都是透過Exchange Server漏洞ProxyShell入侵，Karma先是竊得機密資料並留下勒索訊息，但沒有加密檔案。

但在事隔一天後，也潛伏在該機構的Conti加密了電腦檔案。研究人員呼籲，組織應儘速修補應用系統的相關漏洞。

殭屍網路TrickBot的新後門程式AnchorMail，透過電子郵件流量來埋藏攻擊行動

殭屍網路TrickBot又有新的攻擊行動，而引起研究人員關注。IT廠商IBM發現，TrickBot駭客組織近期針對他們開發的後門程式AnchorDNS進行改良，而開發出新的後門程式AnchorMail（亦稱Delegatz），兩者之間的最大不同點，在於後者透過SMTP和IMAP協定與C2中繼站通訊，並採用TLS加密連線進行。研究人員認為，這麼做使得這個後門程式的行蹤，更加隱密而難以察覺。

勒索軟體駭客再度向Nvidia喊話，這次是要求將顯示卡驅動程式開源

勒索軟體駭客Lapsus$攻擊Nivida，並要求該公司將GeForce RTX 30系列顯示卡LHR的限制移除，而他們於3月2日增加新的要求，要求Nvidia承諾永久開放三大作業系統的GPU驅動程式原始碼，並且是基於免費、開放的軟體授權模式（FOSS）公布，否則他們揚言要釋出近期上市GPU產品的完整檔案，包含矽晶片、繪圖處理、電腦晶片組，範圍包括RTX 3090 Ti與後續新推出的版本。關於這段打著開放原始碼旗號、試圖拉攏公眾與社群，同時又意有所指抹黑Nvidia的恐嚇勒索訊息，在截稿之前，我們並未看到Nvidia做出任何公開回應。