獨家/鴻海驚爆駭客勒索!威州廠疑遭竊密8TB「部分產線停擺」 官方回應了
民視新聞/蘇恩民報導
鴻海驚爆駭客勒索重大資安事件!美國威斯康辛州廠日前爆發大規模IT系統異常事件,導致部分產線被迫停工,當時公司對外僅低調表示發生「technical issue(技術性問題)」,沒想到勒索軟體組織 Nitrogen Ransomware 昨天在暗網發布訊息,聲稱掌握鴻海高達8TB、超過1100 萬份內部檔案。消息曝光後,立刻引發全球高科技供應鏈與資安圈高度關注,外界才驚覺事態嚴重。而鴻海則直到深夜10時許才發出公告證實遭「網路攻擊」。
目前鴻海尚未證實遭受勒索軟體攻擊,也未承認存在資料外洩或贖金勒索情形。然而根據美國威斯康辛州當地媒體 TMJ4 News報導,以及監控美國關鍵服務中斷事件的平台 DysruptionHub 所揭露的資訊,從員工描述、內部通知到系統癱瘓範圍來看,整起事件已呈現出典型「營運中斷型(Operational Disruption)」資安事故特徵。
根據報導, 鴻海威洲廠區自5月1日起陸續出現大規模網路異常,影響範圍涵蓋Wi-Fi無線網路、廠區內部電腦、打卡與工時系統、AD登入與驗證機制,以及內部工作站與生產環境。有員工接受當地媒體採訪透露現場人員被要求停止登入系統,並改以紙本方式紀錄工時;甚至有保全要求員工將手機移除Wi-Fi連線。由於異常持續數日,部分產線已被迫停工。
鴻海稱已啟動應變機制 未證實駭客癱瘓產線
當時鴻海低調回應當地媒體表示公司已啟動緊急應變機制,並逐步恢復部分IT系統功能,同時強調整體生產與交付仍維持穩定。不過,公司並未進一步說明事故原因、受影響的網路系統範圍、是否遭駭客勒索、有無資料外洩、對於威州廠產線及營運的衝擊有多大?記者致電鴻海,但至截稿前仍未接獲回應。
直到今日深夜22時許,鴻海才證實遭網路攻擊,發出公告表示,有關集團北美部分廠區遭網路攻擊說明:「鴻海集團位於北美的部分廠區遭受網路攻擊,第一時間資安團隊已啟動緊急應變機制,並採取多項應急運營措施,確保生產與交付的連續性,受影響廠區目前正恢復正常生產中。」
對資安產業而言,這類「僅稱 IT 異常、不直接承認資安事件」的回應模式並不罕見。許多企業在事件調查初期,往往會先以「network issue」或「technical issue」對外描述,以避免在未完成鑑識前,引發市場、客戶與供應鏈的進一步震盪。
值得注意的是,鴻海位於威州的Mount Pleasant廠區近年被視為AI伺服器、高效能運算(HPC)與資料中心基礎設施的重要據點。若此次事件最終確認涉及勒索軟體或資料外洩,其衝擊恐將不僅限於單一工廠,而可能進一步波及全球AI與高科技供應鏈。
駭客稱竊取1100萬份檔案 包含AI與科技供應鏈資料
就在鴻海尚未證實遭受勒索軟體攻擊之際,Nitrogen Ransomware已進一步於暗網公布更多細節,聲稱從Foxconn威斯康辛州Racine County廠區竊取高達8TB資料,總檔案數超過1100萬份。
根據Nitrogen公布內容,外流資料不僅涉及一般企業文件,更包含大量高敏感度技術資訊,包括:組裝作業指引(Assembly Instructions)、資料中心架構圖(Data Center Diagrams)、硬體設計藍圖與電路規格(Hardware Schematics),更值得關注的是,攻擊者還聲稱資料內容涉及Apple、Intel、Google、NVIDIA、Dell等多家全球科技巨頭。
若相關內容最終獲得證實,事件層級恐將從單純IT中斷,進一步升高為牽動全球 AI、高科技製造與供應鏈安全的重大資料外洩事件。
從資安與供應鏈風險角度來看,此類資料具備極高敏感性。尤其資料中心架構圖、硬體設計文件與組裝流程資訊,往往涉及供應鏈架構與部署資訊、客戶客製化規格、機房與基礎設施配置、產品設計細節及內部安全控管機制。
這類資訊一旦落入攻擊者或國家級威脅組織手中,除了可能被用於後續勒索,更可能成為供應鏈滲透、網路間諜(Cyber Espionage)與進階持續性攻擊(APT)的重要情資來源。
Nitrogen 勒索軟體 從勒索集團走向「情報化攻擊」
Nitrogen Ransomware 近年逐漸活躍於全球勒索軟體生態圈。雖然知名度不如 LockBit、BlackCat(ALPHV)或 Cl0p,但其攻擊模式已展現成熟RaaS(Ransomware-as-a-Service)組織特徵。
首先,Nitrogen偏好攻擊製造業與高營運敏感環境,目標多集中於製造業、工業供應鏈、基礎設施、高科技產業,原因在於此類企業高度依賴 OT / IT 整合環境,一旦核心系統中斷,將直接影響產線與營運,進而形成巨大的談判壓力。而鴻海作為全球電子代工龍頭,其供應鏈角色與營運敏感度,正符合勒索集團偏好的高價值目標輪廓。
其次,Nitrogen採用「雙重勒索(Double Extortion)」模式,也就是先竊取大量資料,再進行系統加密與營運干擾,最後透過暗網資料外洩平台Leak Site公開施壓,對企業而言,即使具備完整備份能力,只要資料已遭竊取,仍可能面臨客戶資料外洩、NDA機密曝光、供應鏈設計文件流出、法規與合規風險,以及品牌形象與信任度受創等風險。
另外,從目前外媒曝光資訊觀察,包括多套系統同時失效、員工遭禁止登入、打卡系統停擺、網域服務異常及大規模網路中斷等跡象,高度符合攻擊者已取得內部 Active Directory(AD)控制權後,進一步進行橫向移動(Lateral Movement)與環境癱瘓的攻擊特徵,而此類攻擊通常並非可短時間完成,代表攻擊者極可能已在內網潛伏一段時間,並完成權限提升與關鍵系統掌控。
資安專家建議:製造業應強化主動式威脅偵測能力
針對此次事件,資安公司竣盟科技總經理鄭加海表示,現今勒索軟體攻擊早已從單純加密檔案,演變為針對核心營運系統與高價值資料的「營運癱瘓型攻擊」,製造業因IT與OT環境高度整合,一旦AD、ERP、MES或遠端存取系統遭控制,即使產線設備未被加密,仍可能因驗證、派工與資料存取中斷而導致營運停擺。
鄭加海認為,企業不能再停留在傳統邊界防禦思維,而應採取Assume Breach(假設已遭入侵)的韌性防禦策略,重點強化橫向移動偵測、AD與高權限帳號保護、OT / IT網路分區隔離、異常行為分析及勒索軟體早期偵測與資料外洩監控。
他特別強調,面對現今攻擊者長時間潛伏與橫向移動的攻擊模式,企業應導入「欺敵誘捕(Deception Technology)」等主動式防禦技術,透過誘餌帳號、誘捕主機與假資產(Decoy Assets),提早識別攻擊者的偵察、權限提升與內網滲透行為。
他也指出,許多勒索攻擊在正式加密前,攻擊者往往已潛伏於企業內網數週甚至數月。若缺乏內網可視性(Visibility)、異常行為分析與橫向移動監控能力,企業往往難以及時發現關鍵系統已遭滲透。對大型製造業而言,真正需要思考的問題早已不再是「會不會被攻擊?」而是「當攻擊者已成功進入內網時,企業是否具備能力提早偵測、限制橫向移動,並維持核心營運不中斷。」