2023年11月22日,南韓總統尹錫悅赴英國唐寧街10號首相官邸,與英國首相Rishi Sunak 進行會談,簽署《唐寧街協議(Downing Street Accord)》,擴展國防、科技、能源、經濟等各領域全面性合作,並讓英韓關係提升為「全球戰略夥伴」,建立新的戰略網路夥伴關係,承諾努力共同應對網際網路威脅。11月23日,英國和南韓共同發出了警告,表明與北韓相關的網路攻擊行為者越來越多,並以軟體供應鏈為目標,攻擊世界各地的組織。
在共同擬定的最新一份韓英聯合網路安全諮詢(ROK-UK Joint Cyber Security Advisory)文件中,NCSC 和 NIS 詳細介紹了北韓相關網路行為者是如何使用複雜的技術存取受害者的系統。據觀察,攻擊者會利用第三方軟體中的漏洞,並透過第三方軟體的供應鏈,存取特定目標或任意組織。英國國家網路安全中心(National Cyber Security Centre,NCSC)和南韓國家情報院(National Intelligence Service,NIS)認為這些供應鏈攻擊是為了幫助北韓獲得廣大的利益事項,包括創造收入和竊取先進技術…等。企業組織的通報能夠提供有關惡意活動的技術細節、協助最近北韓攻擊事件的案例研究,以及相關組織如何減輕供應鏈危害的建議。
任何利用或篡改第三方軟體、硬體或應用程式的攻擊都被視為供應鏈攻擊,軟體供應鏈網路攻擊會對於相關組織造成重大威脅,是因為它們可能導致進一步的攻擊,從而破壞或部署勒索軟體。 由於攻擊者是使用合法的軟體和硬體來發動攻擊,因此造成網路防禦者更加難以偵測到它們。相關組織可以參考 NCSC 的供應鏈安全指南,以取得有關如何建立對供應鏈的有效控制和監督的建議。NCSC 營運總監 Paul Chichester 表示:「在日益數位化的世界中,軟體供應鏈攻擊可能會對受影響的組織產生深遠的影響。 」「今天,我們與南韓的合作夥伴一起發出警告,與北韓有相關的網路攻擊行為者以越來越複雜的方式實施攻擊,威脅日益嚴重。」「鼓勵相關組織遵循建議中的緩解措施,以提高對供應鏈攻擊的抵禦能力並降低妥協風險。」
除了英國、南韓外,臺灣產業也遭受到供應鏈攻擊。日前微軟的威脅情報團隊揭露,北韓駭客組織 Lazarus 的旗下組織 Zinc(亦稱Diamond Sleet)所發起的供應鏈攻擊,受害者包含了臺灣知名多媒體軟體商訊連科技公司,這些駭客約從10月底開始,竄改訊連科技公司的軟體安裝檔案並植入惡意軟體,上傳到訊連的更新伺服器。一旦駭客執行成功,將會於受害端下載、解密、載入攻擊第2階段的惡意程式碼。
以下為北韓駭客組織 Lazarus 常見的攻擊手法:
- 從受損系統中竊取敏感性資料
- 滲透軟體構建環境
- 向下游發展,以利用更多受害者
- 建立對受害者環境的持久訪問
因此,臺灣相關產業也應該更加注意供應鏈攻擊,並做出充分的防範,將傷害風險降至最低。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:
National Cyber Security Centre(2023).UK and Republic of Korea issue warning about DPRK state-linked cyber actors attacking software supply chains.National Cyber Security Centre. 檢自:https://www.ncsc.gov.uk/news/uk-republic-of-korea-issue-warning-dprk-state-linked-cyber-actors-attacking-software-supply-chains (Nov.11,2023)
丘學陞(2023).英韓「唐寧街協議」強調臺海穩定重要性.青年日報. 檢自:https://www.ydn.com.tw/news/newsInsidePage?chapterID=1631969 (Nov.11,2023)
周峻佑(2023).臺灣多媒體軟體業者訊連科技遭北韓駭客Lazarus發動供應鏈攻擊.iThome. 檢自:https://www.ithome.com.tw/news/159983 (Nov.11,2023)
