X-FAB是世界最大的模拟/混合信号集成电路技术及晶圆代工厂企业,从事混合信号集成电路(IC)的硅晶片制造。所有晶圆均采用技术规格为1.0-0.13微米的CMOS和BiCMOS高级模块制造,主要应用于汽车、通信、消费电子和其他工业领域。

而在2020年7月5日,该集团发通告称遭受网络攻击,被迫关闭了在德国,法国,马来西亚和美国的六个生产厂。

通过咨询相关行业专家得知,半导体产线必须维持24小时不间断运作,生产线中断将对晶圆代工厂带来不可逆转的损失。目前X-FAB最新声明称已经恢复了一个生产基地的生产。

而此事一曝光,引来芯片业界的强烈关注,主要原因在于龙头晶圆代工厂的停产会对全球芯片供应链造成很大的影响。要知道,硅片经过加工,形成了晶圆,然后经过包装,形成了芯片,可以说晶圆就是制造各式芯片的基础。

其中晶圆代工有着高资本壁垒和技术壁垒,全球代工厂屈指可数,我们熟知的中芯国际、台积电就是其中一员。

元凶亮相

根据奇安信威胁情报中心红雨滴安全研究团队的大数据监测发现,Maze勒索攻击团伙在其主页上架了关于X-FAB的相关信息,表明他们默认其是针对X-FAB发起网络攻击的主谋。

为了证明该组织成功入侵了X-FAB集团,Maze团伙在官方主页上放置了三个受害者信息,涉及英国、东欧和中国工作人员。

其中关于中国的泄露人员信息疑似与国内某芯片研究公司有关。

目前X-FAB集团的数据尚未泄露,一旦在约定期限内未付费,Maze勒索攻击团伙将会持续不断的将窃取的数据上架到主页。

Maze团伙

Maze勒索软件持续针对国内外大型企业多年,影响颇深。奇安信威胁情报中心对该组织活动持续追踪,总结了一些关于该组织攻击的特点。

首先文件被加密后,文件名后缀为乱码

受害者系统桌面会变成绿色字体的勒索字样,其中点名身份为Maze勒索软件。

桌面和每个文件目录下都释放了DECRYPT-FILES.txt

其会要求受害者打开Maze专属解密界面

在上传txt文件后,识别成功后,网页会跳转并弹出文字提示,称目前为5折,如果7天后还未付款则会变为1000美元。此外该组织额外提供可免费恢复3个被加密的图片的机会。

当然,500美元只是对于普通用户而言,一些大型企业的价格可以达到数百万美元的价格。

该页面还含有聊天室功能,受害者可以输入内容,比如协商价格等。

总结

近些年来,针对工控行业的勒索攻击愈来愈多,例如本田汽车就曾遭受工业型勒索软件Ekans攻击,部分生产系统中断;全球最大铝生产商Norsk Hydro遭lockergoga勒索软件攻击导致自动化流水线暂停,再到如今开始针对高技术壁垒的芯片供应链公司进行攻击,无不表现出勒索软件团伙的攻击趋势:针对高端科技公司的定向勒索攻击

芯片的重要性不言而喻,而这条芯片制造之路却是由层层供应链支撑而成,例如光刻机制造厂商、晶圆体代工厂、IC设计厂商等,构成完整的半导体生态。

因此,要保证整条芯片产业链的正常运转,就需要保证这条产业链上所有工厂做到网络安全,在做好内网隔离的同时仍需要做好数据备份,防止被勒索软件攻击后无法及时恢复生产。

奇安信威胁情报中心已经将该组织常用网络资产加入情报库,安全能力中心已经可以针对Maze勒索软件进行查杀。

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。