市占第一OTP簡訊平臺EVERY8D(Teamplus)遭駭,F-ISAC發布黃燈級資安事件警訊,然而當大家聚焦在簡訊卡關,網購無法交易,或是國家、企業乃至個人的簡訊內容外洩時,中芯數據將探討另外一個面向的問題。
如今EVERY8D(Teamplus)已然遭駭,如果企業有用該廠商的產品,現在怎麼確認攻擊者沒有透過該產品入侵到企業內部?這樣的攻擊方式,攻擊者將能輕鬆繞過企業資安防禦架構,進行資料竊取與加密勒索,直接對企業造成重大損害。因此本次將探討一個一年前與該廠商相關的資安事件,從而解析企業面臨的問題以及風險,而這也將成為現在全力拼AI發展的台灣企業不可忽視的致命隱患。
時間回到2025年5月份,中芯數據於客戶端發現一起資安事件,該事件為攻擊者利用企業內使用的通訊軟體(Teamplus)進行攻擊,這與以往攻擊者想辦法攻破企業資安防護架構不同,這次攻擊者入侵的對象是企業正在使用的通訊軟體廠商,這也是供應鏈攻擊中最令人難以防範的一種。
這次事件中,並非攻擊者主動發起,而是企業的人員因電腦重新安裝後,需要下載企業內部用的通訊軟體(Teamplus)進行安裝,下載及安裝過程相安無事,但接下來才是攻擊的可怕之處,由於安裝完後該軟體需要進行線上更新,因此該軟體自行從設備後端連線至該通訊軟體廠商的伺服器進行資料更新(如上圖)。

但更新下載的檔案除了正常的更新檔外,還同時下載了惡意程式進入設備中。為了做到這件事,攻擊者在更早之前,就已經入侵了該通訊軟體廠商,並將該單位內的情形探查清楚,明確找到對外更新用的伺服器,並且也清楚知道外部設備進來更新時用的更新檔路徑,這些跡象說明著幾件事情,第一,攻擊者早已將該單位探索完畢,並且很清楚該廠商整體運作方式及產品運行模式,第二,攻擊者很可能是有相當的規模及紀律,因為他們沒有第一時間去加密勒索該單位,反而是利用該單位產品的特性,對外擴散入侵更多的企業。
以上是整個入侵的過程,而在中芯數據團隊的保護下的企業在被入侵的第一時間就已收到明確通知,企業已遭受攻擊,除了給予對應的惡意程式及中繼站外,入侵手法及實際上的源頭來自於通訊軟體廠商也在當下提供給企業資安人員,讓企業能第一時間進行處理,而非與廠商來回確認,不知道是否該禁止企業員工使用。
這事件也帶出長久以來困擾企業資安人員的問題,在這一年來的每場研討會中,都會分享這起事件,同時會詢問台下的聽眾,在這邊也想問問讀者們,不管今天你是企業的高階資安主管或是實際負責的資安人員,當企業內收到一個告警(不管是來自於資安廠商或是AI),內容說:單位在用的軟體疑似有問題,各位會如何解決這個告警?
- 確認為企業內部在用的軟體,就將告警標記為誤報
- 直接刪除該疑似有問題的軟體,就算是內部正常要使用的軟體
除此之外,可能會延伸出下一個問題,資安人員應該要先進行確認,但“我該確認什麼東西?”就是接下來困擾資安人員的歷史難題,畢竟如果想要確認檔案有沒有問題,這次的事件更困難就在安裝檔本身是沒問題,是在更新的時候惡意程式才被一起下載,而更新時會下載不少檔案,企業內資安人員很難一個檔案一個檔案去看,故如果以上難題還在困擾各位,我在這提供以下的解決方案,可以幫各位讀者解決上述的所有問題,而且被驗證有效。