北韓駭入韓國半導體設備公司 竊取設計圖

北韓自去年下半年以來集中對韓國半導體設備廠發動網路攻擊。(圖/Envato Elements)

韓國情報機構國家情報院(國情院)於本(3)月 4 日表示,北韓自去年下半年起直到最近,集中針對韓國國內半導體設備公司發動網路攻擊,竊取了產品設計圖等資料。

北韓駭客利用寄生攻擊(LotL)手法

據國家情報院的說法,A 公司和 B 公司的伺服器分別在去(2023)年 12 月和今年 2 月遭到駭客入侵,被竊取了產品設計圖和廠內設備配置照片等資料。

北韓的駭客組織鎖定伺服器與網際網路相連而暴露出漏洞的企業進行攻擊。

北韓的駭客組織主要使用了寄生攻擊(LotL)的手法,這種手法僅使用最小限度的惡意代碼,而改運用伺服器內現成的合法程式來進行攻擊,如此一來由於非惡意代碼,攻擊者就難以察覺到,也可以避免因使用自己外來的工具,而被資安防護系統偵測到異常。

半導體設備示意圖。
(圖/FotoArtist via Twenty20)

什麼是「寄生攻擊」 (LotL, Living off the Land)?

關於 LotL(Living off the Land),台灣媒體有多種譯法,包含離地攻擊、自給自足、就地取材等。

台灣科技資訊媒體 iThome 在 2021 年 7 月的一篇文章中指出,「離地攻擊」是照字面意思直譯,指的是能不著痕跡地躲避資安防護系統的偵測,是目前最常見的用法。但這個說法未翻譯到 Living 一詞,也沒有表達攻擊者的作為;而「自給自足」這個說法,說明了攻擊行動無需靠後端支援。

美國網路安全技術公司賽門鐵克(現為 Gen Digital 公司)在網路安全威脅報告(ISTR)中文版,也曾採用這個說法,但自給自足並沒有點出過程中運用了受害環境的現成工具。

iThome 的新聞中原先選擇譯為「就地取材」,因為這比較貼近攻擊者的實際作為。而自 2021 年 10 月 18 日起,iThome 決定改譯為「寄生攻擊」,原因是「就地取材」較為偏重於描述工具無需依賴外界的層面,而「寄生」則是含有吸取宿主養分生存的意思,更能表達這種攻擊手法的意涵。

北韓也想自製晶片?

國情院認為,北韓可能因受到制裁而難以取得晶片,加上衛星、飛彈等武器開發使得晶片需求增加,而準備開始自主生產晶片。國情院已通報受到網路攻擊的廠商相關資訊,並提供支援以改善資安防護措施。

當地時間2023年11月21日晚間10時42分28秒,北韓軍事偵察衛星萬里鏡1號搭乘運載火箭千里馬1號自東倉里西海發射場升空。
(圖/朝中社)

為了防止進一步的受害,國情院也提供資訊給韓國主要的半導體公司,要求他們進行自主的資安防護檢查。

最後,國情院呼籲,必須徹底對暴露在網際網路上的伺服器進行安全更新和存取控制,並定期加強管理員認證等帳戶管理措施。

延伸閱讀:
韓國新版《國家網路安全戰略》 轉向主動式防禦
美韓警示IT企業勿雇用假冒國籍的北韓人 避免間接協助發展核武
韓美聯合調查 北韓駭客竊取韓國雷射武器技術文件
伺機而動:北韓駭客假造國籍潛伏在美日IT企業工作
金正恩:要做新武器!北韓駭客駭入南韓國防產業盜技術

參考新聞連結:
2024/03/04 聯合ニュース 北朝鮮 韓国の半導体装置会社にサイバー攻撃=設計図面など奪取
2024/03/04 中央日報 韓国国家情報院「北朝鮮、韓国の半導体装備企業のサーバーハッキングし図面奪取」
2021/07/30 iThome 【資安關鍵字:攻擊手法|Living Off-the-Land】使用受害電腦現成的合法工具,掩蓋攻擊行動

Tagged: