調查局：中油、台塑化遭海外駭客集團勒索攻擊 另有10家遭鎖定

中油、台塑化 (6505-TW) 及封測廠力成 (6239-TW) 日前遭惡意程式攻擊，法務部調查局今 (15) 日公布調查結果，研判該駭客組織為 Winnti Group，據情資顯示，駭客近日預謀再針對國內 10 家企業，發動勒索軟體攻擊，呼籲各企業立即檢查防護機制，是否有惡意軟體潛伏。

調查局指出，駭客早在數月前，透過員工個人電腦、網頁及 DB 伺服器，入侵公司內部網路並開始刺探與潛伏。駭客竊取特權帳號後，侵入網域控制伺服器 (AD)，並利用凌晨時段竄改群組原則 (GPO) 以派送具惡意行為的工作排程。

當員工打開電腦會立即套用 GPO，並執行此工作排程，待核心上班時段，自動執行駭客預埋在內部伺服器中的勒索軟體下載至記憶體中執行，若檔案加密成功即會顯示勒索訊息及聯絡電子信箱。

中油日前遭勒索軟體攻擊，造成捷利卡、車隊卡及中油 PAY 等支付工具無法使用，同時，台塑集團也發現電腦系統異常，力成湖口廠區部分伺服器遭到勒索病毒攻擊，公司內部緊急關閉伺服器和網站，IT 人員與外部資安專家共同將勒索程式清除，生產不受影響。

調查局表示，該駭客集團要求企業須支付一台電腦 3000 美元 (約合台幣 9 萬元) 的贖金，否則就要公布自公司竊取的內部資料。

在犯案過程中，駭客也留有後門程式連往境外中繼站，追查發現，駭客是向美國境內的「雲端主機 (VPS)」服務提供商 (負責人是華裔人士) 租用雲端主機，作為駭客中繼站，並使用商用滲透工具 Cobaltstrike 作為遠端存取控制之用。

調查局研判，該駭客組織為 Winnti Group，已透過國際合作管道協查境外的電子信箱及中繼站，雖然 3 家企業遭勒索軟體攻擊事件暫時解決，但據情資顯示，駭客集團揚言將對國內 10 家企業進行攻擊，目前無法掌握確切名單。

依本案行為模式研判，駭客鎖定的 10 家企業應已遭入侵滲透並潛伏數月之久，調查局呼籲國內企業立即檢視網路防護機制，現有對外網路服務是否存在漏洞與破口，觀察企業 VPN 有無異常登入行為或遭安裝 SoftetherVPN 及異常網路流量，並加強監控網域中特權帳號等。