民視新聞/蘇恩民報導
鴻海(Foxconn)美國威斯康辛州廠區日前爆發重大資安事件,《民視》率先獨家揭露該廠區遭駭客攻擊,導致大規模資訊系統異常,不僅無線網路(Wi-Fi)中斷、微軟網域驗證(AD)登入系統停擺,部分產線甚至被迫停工,消息曝光後,震撼全球科技供應鏈,然而,就在外界還在關注「鴻海到底被偷走多少資料?」之際,資安界又爆出更驚人的內幕。
鴻海12日深夜發布重訊坦承集團位於北美的部分廠區近期遭受網路攻擊,但強調第一時間資安團隊已啟動應變機制,並採取多項因應措施,確保生產與交付的連續性,目前受影響廠區之生產營運均維持正常。
但資安研究人員發現,聲稱發動此次攻擊的駭客組織 Nitrogen Ransomware,其勒索軟體本身竟存在嚴重技術瑕疵,甚至可能出現「連駭客自己都無法解密受害企業資料」的情況。換句話說,企業一旦中招,最糟情況恐怕不是被勒索,而是遭駭客加密資料,可能永久消失。
事實上,Nitrogen 並不是像 LockBit、BlackCat(ALPHV)或 Cl0p 這類惡名昭彰的老牌大型勒索集團,它最早是在2023年被資安圈注意到,當時主要被用來散布 BlackCat/ALPHV 勒索軟體,因此外界原本認為它比較像是替其他駭客集團「開門」的角色,專門協助入侵企業系統並投放惡意程式。
但之後 Nitrogen 開始自行發展勒索軟體,並利用過去外洩的 Conti 勒索軟體程式碼進行改造,雖然目前規模還不像 LockBit 那麼龐大,但自2024年以來攻擊行動越來越頻繁,受害企業數量也持續增加。
真正讓資安圈震驚的,是研究人員發現 Nitrogen 的部分加密程式竟然存在嚴重漏洞。根據資安事件應變公司 Coveware 分析,由於程式設計錯誤,Nitrogen 在加密檔案時使用了錯誤的加密金鑰,導致部分檔案在被加密後,可能出現「無法逆轉的毀損」。
真正讓資安圈震驚的,是研究人員後來發現 Nitrogen 的部分加密程式竟然存在嚴重漏洞。根據資安事件應變公司 Coveware 分析,由於程式設計錯誤,Nitrogen 在加密檔案時使用了「錯誤的 public key」,影響 VMware ESXi 虛擬化環境,導致檔案在被加密後,出現無法逆轉的毀損(Irrevocable Corruption)。
白話來說,就是檔案雖然被成功鎖住,但連駭客自己都可能打不開,就像有人把保險箱焊死後,才發現唯一可以打開保險箱的鑰匙也壞掉。最後企業面對的,可能不只是系統被鎖,而是資料永遠無法還原,就算支付贖金,也未必救得回來。也因此Nitrogen 近來被資安圈特別點名,因為它已經不只是傳統「勒索軟體」,而更像具備資料破壞能力的「資料毀滅型惡意程式」。
資安公司竣盟科技總經理 鄭加海 指出,這類攻擊對大型製造業特別危險,因為目前許多企業的核心系統,包括企業資源規劃系統、微軟網域管理、郵件、資料庫、人工智慧與高效能運算環境,甚至虛擬機與生產管理平台,大多建立在 VMware ESXi 虛擬化架構之上。一旦這類虛擬化主機遭到 Nitrogen 加密,而企業又缺乏離線備份、不可竄改備份或異地備援機制,部分核心系統甚至可能永久無法恢復。
尤其像鴻海這類高度依賴資訊系統與生產整合的大型製造業,只要登入驗證、派工、資料存取或虛擬化平台發生異常,受到影響的往往不只是辦公室,而是整條產線、客戶交付,甚至全球供應鏈運作。 這也再次凸顯,今天企業面對的資安威脅,早已不只是「資料被偷」,而是當核心系統被全面癱瘓時,企業是否還有能力維持正常營運。