怀疑大陆黑客窃取台湾半导体机密，理由：工作时间996

日前，美国科技媒体《Wired》报道称，台湾地区一家名为奥义智慧科技（CyCraft）的网络安全公司在上周举行的“Black Hat USA”黑帽大会上揭露，自从该公司在今年4月发布有关台湾地区半导体产业的网络攻击事件白皮书以来，接获了许多的响应，显示出台湾至少有7家半导体业者曾遭到同一个中国大陆黑客集团“Chimera”锁定。

CyCraft的研究人员查德·达菲（Chad Duffy）指出，在2018年及2019年于新竹科学园区，发现几起针对半导体业者的网络攻击事件，而且怀疑相关攻击是来自中国大陆的黑客集团，不管是初期发现的攻击或是随后接获的响应，都显示它们采用了类似的策略、技术，以及客制化的恶意软件，因此判断至少有7家半导体业者曾被同一黑客集团锁定，且目的都是为了窃取机密信息。

中国台湾地区与美国、日韩及欧盟地区目前在全球半导体产业中处于领先地位，其中，台湾地区在晶圆代工及封装测试领域都位居全球第一，在无晶圆厂IC设计（Fabless）方面则位居全球第二，垂直整合生产（IDM）名列全球第五。

今年来，华为因受到美国制裁，使得全球使用美国技术或设备生产半导体的业者都无法再供货给华为。《电子工程专辑》也报道了华为消费者事业部总裁余承东宣布，因缺乏制造能力，华为海思的麒麟9000高端芯片将成绝版一事，可见半导体制造技术的重要性。

根据CyCraft的分析，Chimera集团可能是先透过网钓邮件或外泄数据作为进入半导体业者网络切入点；并以Cobalt Strike作为主要的远程访问木马，以与黑客的命令暨控制（C&C）服务器通信，黑客把Cobalt Strike伪装成Google Update档案，并将C&C服务器设置在Google Cloud平台上以掩人耳目；接着再利用客制化的账号操作恶意软件Skeleton Key Injector，来窃取机密信息。

Skeleton Key Injector专门对付设定网络存取规则的域控制器（Domain Controller，DC），它能替位于DC内存中的所有用户添加同一个新的密码，让该密码变成万能钥匙，使得黑客得以在企业网络中横行，窃取有关芯片、软件开发工具包、IC设计及原始码等机密信息。

这一攻击被称为 Operation Skeleton Key，Duffy说：“这就像一个万能钥匙，您可以用它去任何地方。”

CyCraft指出，看起来相关攻击应该是源自于竞争对手甚或竞争国家，为了取得竞争上的优势而发动的攻击行动。他们怀疑是中国大陆黑客组织Chimera所为，并指出该组织与中国大陆官方背景的知名黑客组织 Winnti 有关，而且这些黑客还遵循中国大陆的996 工作时间表（996，早上 9 点到晚上 9 点，一周 6 个工作日）及法定假日。

CyCraft表示，黑客组织入侵半导体产业是特别危险的，因为在窃取研发技术后，就有可能会找出其中的漏洞，当这些半导体设备上市后，就可以透过这些漏洞进行攻击，使其受到损害。

CyCraft的另一位研究人员Cheng-Kuan Chen补充说：“这是对整个行业的战略攻击。”但他们并未公布受害企业的名称，仅以代号来说明黑客的攻击途径。

CyCraft的研究报告PDF版：https://cycraft.com/download/%5BTLP-White%5D20200415%20Chimera_V4.1.pdf

网友热议

@ _NecrocrAB_：这还真的...无法反驳

@Shionna夏安：这……996已经成为一种识别代码了么

@秋唧唧Garuru：难道不应该是国企吗？怎么还要996的

@布洛妮亚·芙乐艾MKII: 这不应该是24小时三班倒吗，怎么还带休息的

@愚者的TARDIS: 黑（she）客（chu）

@ 机械降神型第四天灾：不是，说得好像台湾在别的时区一样……

责编：Luffy Liu

本文综合自Wired、ZDNet、ITHome、TechOrange、新浪微博报道