德國百強企業遭駭!惡意軟體「Winnti」入侵多個敏感產業,調查發現程式碼埋中文字符

2019.07.29 by
蔣曜宇
shutterstock
德國公視(ARD)調查發現,Winnti最早從2011年便開始展開攻擊行動,攻擊目標包含高科技、化工、醫藥等高度敏感企業。此外,Winnti似乎也被用來進行政治竊密行為,劍指香港及西藏。

數個德國績優股公司,例如化工龍頭巴斯夫、家電大廠西門子以及消費品生產商Henkel等,都證實了他們受到駭客入侵,而種種證據顯示犯人極有可能是受到政府支持的中國駭客團體。

惡意軟體根植多間德國頂尖企業,發現駭客與中國政府有緊密連結

在這些攻擊事件中被使用的惡意軟體叫做「Winnti」。透過它,駭客能順利地從遠端侵入受害者的電腦系統裡。調查人員發現,Winnti最早從2011年開始,就已被植入許多德國頂尖企業的網路中,並且專門用來搜集公司內部資訊、獲取商業機密。最初他們主要針對遊戲產業進行攻擊,但自2014年起,攻擊目標則明顯地轉向更加敏感的產業,包括高科技、化工及藥品生產商。

2016年時,數個德國DAX公司(編按:DAX為德意志交易所集團推出的一個績優股指數,為歐洲股票市場中的重點指數,其中包含了30家德國的主要企業)包含巴斯夫及拜耳合組了德國網路安全組織(DSCO),專門來調查駭客團體的攻擊緣由。根據許多證據,他們幾乎可以確定這個團體來自中國,並且背後與中國政府有緊密連結。

DSCO的資安專家表示,他們發現駭客留下的程式碼裡有中文字的痕跡。
shutterstock

DSCO的資安專家表示,他們發現駭客留下的程式碼裡有中文字的痕跡。除此之外,介入調查的防毒大廠卡巴斯基則發現,他們透過程式碼追蹤到的一位人士,不僅在駭客論壇中以中文招募人才,更被發現他在一起2018年10月被揭露的美國石油公司竊密案中,為中國官方情報單位服務。

除了德國外,美、日、印尼、印度都有Winnti的蹤跡

雖然德國公司為最大宗受害者,其他受害者也包含了日本最大化學公司信越化學工業、日本住友電氣工業、瑞士醫藥研發商Roche、美國萬豪酒店、印尼獅子航空及印度的某個電信商,最主要的受害產業包括遊戲、軟體、高科技、醫藥及化學產業。

服務於公共政策研究團體德國馬歇爾基金會(GMF)的政治科學家珍卡·厄特爾(Janka Oertel)則表示,這些由中國駭客發起的大型網攻事件,中國政府不太可能會不知情。中國政府曾喊出「中國製造2025」的計劃,而厄特爾認為中國希望在那之前於關鍵產業中扮演重要角色,並且在2035年前取得世界領導地位。

「在中國還沒取得領先地位的某些產業領域裡,他們不排除從別處獲取關鍵的科技技術。這個別處,也包含了德國。」厄特爾說。不過,這些受害的公司皆表示他們的關鍵資料並未被盜取。

一位不具名的德國政府官員則表示,網路攻擊通常是一個指標,它們會顯示一個國家真正的企圖和目標是什麼。與科技、化學與醫藥產業相關的受害公司或許還可以理解,但萬豪酒店和獅子航空又為何被盜呢?進行調查報導的德國公視(ARD)認為,飯店與航空業會搜集客戶數據,而駭入這些公司能讓駭客掌握人們的行蹤。

攻擊不僅限於商業機密,香港、西藏流亡政府都被Winnti鎖定

然而,這群Winnti駭客的爪牙不只伸向有敏感商業機密的企業,政治竊密似乎也成了他們的標的之一。香港政府單位日前被發現有系統遭到Winnti的感染,而香港政府也證實了這件攻擊事件。香港政府回覆說,受到感染的電腦並未存有市民的機密資料,而且他們沒有證據顯示,任何資料有被複製、竊取的跡象。

香港政府單位日前被發現有系統遭到Winnti的感染,而香港政府也證實了這件攻擊事件。
圖片提供/梁大文

調查還發現,有一間印度的電信商也遭到Winnti攻擊,而這間電信商正好就位在西藏流亡政府所在的區域。而被發現的惡意軟體,裡面有一個識別碼就叫做「CTA」—— Central Tibetan Administration,西藏流亡政府的英文官方名稱縮寫。

針對這些被揭露的網路攻擊事件,德國政府的態度則顯得相對保守。他們證實了這些由Winnti所造成的網路攻擊事件,表示受害的公司可以向政府尋求建議及協助,但對於Winnti是否與中國駭客有直接聯繫,德國政府的回覆則未提供正面回覆。德國公視也有向中國駐柏林大使館徵詢說法,但他們並未提供回覆。

責任編輯:蕭閔云

資料來源:Bayerischer RundfunkitNews

延伸閱讀

每日精選科技圈重要消息