上週最受到各界關注的事故,就是EDR系統CrowdStrike Falcon更新出錯,導致全球大量出現藍色當機畫面(BSoD)的情況,微軟初估全球有850萬臺Windows電腦受到影響,究竟臺灣災情如何,陸續有相關消息傳出。我們也私下訪問企業的資安長及資服業者,發現金融、資服、傳統製造及高科技製造業都傳出災情。
另一方面,金管會也在例行記者會透露金融業者受害的情形,並指出期貨商、投信業者、壽險業者、產險業者都有受害的情況。
【攻擊與威脅】
盤點臺灣企業因CrowdStrike產品更新造成電腦當機的災情
臺灣時間7月19日傳出微軟雲端服務大當機,經查是資安公司CrowdStrike更新EDR時出包,造成安裝微軟作業系統的電腦,出現藍色當機畫面(BSOD)的狀態。微軟企業及作業系統安全副總裁David Weston在官方部落格文章中提到,此次受到CrowdStrike更新影響的設備,估計高達850萬臺Windows設備,而臺灣有多少企業受到波及,並沒有任何官方數據可以提供。因此,iThome私下訪問臺灣企業資安長和資服業者,希望可以勾勒出,臺灣不同產業在這一波CrowdStrike引發藍色當機畫面的災情現況。
事實上,此次CrowdStrike引發藍色當機畫面的受害產業範圍甚廣,包括金融業、資服業、傳統製造和高科技製造業者等,都陸續傳出災情;此外,根據其他媒體報導,其他像是航空業者,也是此次災情的受害者。
金融業者因為開放雲端服務較晚,便有金融業者表示,該公司剛好在進行CrowdStrike的POC(概念驗證),因此災情發生後,選擇暫停POC;另外,則有一家資服業者災情慘重,該公司有三千多臺個人電腦,全部都出現藍畫面的當機狀態。
金管會揭露CrowdStrike事故對臺金融業災情,保險業上千臺伺服器和上千臺PC受影響
上週五資安公司CrowdStrike更新EDR時出包,安裝微軟作業系統的電腦出現藍色當機畫面,不少金融業者也受到影響。金管會今日在例行記者會上表示,目前為止,受影響的金融業者包括2家期貨商、4家投信業、5家壽險業和2家產險業者。銀行局則尚無接獲業者通報重大偶發事件。
針對保險業受影響情形,保險局主任秘書古坤榮說明,少數業者的官網或對外服務系統有部分功能受影響,中斷了數分鐘至三小時,「大家都在時間內修復完成。」另外,古坤榮提到,本次保險業者受影響裝置有一千多臺伺服器,和一千多臺桌機和筆電。他表示,保險業者後續將強化服務,提供廠商的緊急應變機制,擬訂SOP來縮短類似事件的因應處理時效,並且辦理資安產品多樣化等改善措施。
針對證券期貨業受影響情形,證期局主任秘書尚光琪表示,受影響的2家期貨商和4家投信業對外服務並未中斷,也沒有影響到客戶權益。但是,尚光琪提到,經調查後確認,本次事件中外商投信業者的受影響裝置數量較多。
針對CrowdStrike更新出錯事故,伊朗駭客假借提供修復工具名義誘人下載,實際卻是散布資料破壞軟體
上週五EDR系統CrowdStrike Falcon更新引發全球各地Windows電腦大當機,微軟公布有850萬臺電腦受到影響,資安業者Interos指出約有67.4萬企業用戶可能受到影響。值得留意的是,駭客也伺機散布惡意程式進行破壞。
惡意軟體沙箱服務業者Any.Run指出,他們發現有駭客意圖趁機散布資料破壞軟體(Wiper)的跡象,對方針對想要找尋能修正電腦因CrowdStrike更新當機的使用者,聲稱提供另一個由CrowdStrike製作的更新軟體,能解決當機的問題。然而一旦使用者執行,電腦檔案就會被以0位元的資料覆寫,完成後惡意程式再向特定的Telegram頻道回報。
而對於攻擊者的身分,資安新聞網站Bleeping Computer指出,伊朗駭客組織Handala聲稱是他們所為,並透過社群網站X透露,攻擊目標是以色列的企業組織,他們透過釣魚郵件來散布資料破壞軟體。
中國駭客組織GhostEmperor捲土重來,利用惡意程式Demodex從事攻擊行動
資安業者卡巴斯基3年前發現中國駭客組織GhostEmperor的行蹤,事隔兩年,有研究人員察覺該組織再度犯案的跡象。去年底資安業者Sygnia收到客戶的委託,起因是他們察覺駭客破壞企業內部網路,目的是滲透合作夥伴。經過調查,駭客使用名為Demodex的rootkit變種,而這項工具與2021年9月卡巴斯基揭露的GhostEmperor有關。這些駭客運用多階段惡意軟體攻擊,從而隱密在受害組織持續運作,同時他們也利用多種手法阻止資安人員分析。
而對於這些駭客的入侵手段,研究人員指出通常是利用Exchange漏洞ProxyLogon來取得初始權限,但也有利用其他漏洞的情況。一旦成功,對方就會執行批次檔啟動整個惡意軟體感染流程。
FBI利用以色列駭客工具成功破解川普刺客的安卓手機,過程僅耗時40分鐘
根據彭博社報導,美國聯邦調查局(FBI)在以色列業者Cellebrite提供的工具協助下,以「開發中、尚未公布」的產品破解「較新款」的三星手機,從而成功存取攻擊美國總統候選人川普的刺客手機,過程僅花費40分鐘。
本月13日川普在賓州農場公開造勢發表演說時,遭到賓州男子Thomas Matthew Crooks企圖行刺。川普僅右耳受傷,而刺客隨後遭到狙擊手擊斃。FBI取得此嫌犯的手機以調查行刺原因及是否有共犯,事件隔日還無法存取手機,但第二天FBI就宣布成功存取其中內容,對於如何破解手機鎖定及刺客使用的手機品牌,FBI皆未說明。
這家以色列業者主要的業務,就是提供各國政府及警方破解工具,作為辦案使用。2016年FBI為偵辦槍擊案需解鎖已經死亡的嫌犯手機,尋求蘋果協助遭拒,最終FBI得到第三方業者協助,外傳該業者就是Cellebrite。
移民署內部通訊錄驚傳流入駭客論壇,該單位表示非駭客攻擊外流,疑為離職員工所為
近日傳出民眾在網路上發現,使用SorryBB為ID的人士,在駭客論壇BreachForums兜售移民署內部人員通訊錄的情況,當中包含署長及多名科員、專員的個資,這份資料不僅包含職稱、姓名、性別、任職年月、內網電子郵件信箱、號碼、分機、警用電話號碼,甚至提及有人照顧家人而留職停薪的情形。
對此,有知情人士透露,這些資料相當老舊,且這批內部資料外界難以利用,價值並不高。儘管如此,賣家還是開出了1,500美元(約新臺幣4.9萬元)的價碼,並要求以門羅幣或比特幣進行交易。
移民署得知此事後著手查證,確認資訊系統並未遭到駭客入侵,他們也將存放於內部網路系統的檔案移除。究竟這批資料如何流出,他們不排除是離職員工所為。
其他攻擊與威脅
◆研究人員揭露HTTP請求偷渡手法TE.0,恐導致數千個Google Cloud網站曝險
【資安產業動態】
Google宣布放棄在Chrome中封鎖第三方Cookie的計畫
在受到各國監管機關的質疑之後,7月22日Google宣布放棄於Chrome中封鎖第三方Cookie的計畫,但會繼續投資及開發原本要用來取代第三方Cookie的各種隱私沙箱(Privacy Sandbox)API。這項執行4年的計畫,最終以失敗告終。
Google企圖於Chrome瀏覽器中維持廣告主及使用者隱私之間的平衡,因而在2019年提出了隱私沙箱的概念,採用更具隱私的方式將使用者分門別類,而廣告主則可據此向群組發送廣告,並準備在2022年以隱私沙箱全面取代第三方Cookie。然而,該計畫一開始就惹來英國競爭及市場管理局(CMA)的調查,懷疑隱私沙箱的安全性,以及Google疑似打算利用隱私沙箱來圖利自家廣告服務,再加上受到各方的質疑,而使得上線日期一延再延。
近期資安日報
【7月22日】資安業者CrowdStrike更新事故衝擊規模初步統計出爐,至少影響850萬臺電腦、67萬企業用戶
【7月19日】CrowdStrike旗下EDR系統更新出錯釀禍,全球出現Windows電腦大量當機,影響機場、醫院等設施運作
熱門新聞
2024-09-02
2024-09-02
2024-09-02
2024-09-02
2024-09-03
2024-09-02
2024-09-04
2024-09-06