• 發布單位:TWCERT/CC
• 更新日期:2020-07-20
• 點閱次數:2631

美國、英國、加拿大三國的情治與資安主管機關，日前發表聯合聲明，指出某些來自俄羅斯的駭侵團體，正在針對全球關於 Covid-19 的研究與疫苗開發單位進行攻擊。

包括美國國家安全局、國防部所屬的資安與基礎設施安全局、英國國家資安中心、加拿大通訊安全局與基礎設施安全局等三國情治與資安主管機關，於7月16日發表聯合聲明，指出某些來自俄羅斯的駭侵團體 Cozy Bear（APT29），正在針對全球關於 Covid-19 的研究與疫苗開發單位進行攻擊。

聲明中指出，Cozy Bear 利用一種特製的 WellMail 惡意軟體，鎖定和 Covid-19 相關的全球研究機構和疫苗開發單位進行駭侵攻擊。

聲明說，在最近幾次針對這些單位的攻擊中，發現駭侵者會先掃瞄目標對象使用的外部與內部 IP，試圖尋找弱點加以攻擊；發現弱點後即會布署相關攻擊工具進行攻擊，以竊取這些單位的研究資料和成果。

Cozy Bear 的攻擊行動，主要鎖定這些研究單位使用的雲端工具或軟體的已知資安漏洞，如 Citrix 的 CVE-2019-19781、Pulse Secure 的 CVE-2019-11510、FortGate 的 CVE-2018-13379、Zimbra 的 CVE-2019-9670。

美國的資安主管機關 CISA 先前就曾發出警告，指出針對 Covid-19 研究單位，或單純假藉疫情相關主題為名的駭侵活動，自今年三月起就不斷增加。