原标题:【台湾史上最大资安事件】深度剖析台积产线中毒大当机始末(上)
图片来源:台积电
这是一个寻常的周五傍晚,台积电新竹一座晶圆厂内,设备安装人员正赶着要在下班前完成一台新机台的安装。尽管晶圆厂几乎全年天天24小时日夜赶工,但周末上线新系统是惯例,可以尽量降低对周间营运的影响风险,也比较不会直接冲击股市。这不是台积工程团队第一次安装新机台,早就制订了一套标准的安装作业SOP,甚至在各地厂区已经按SOP安装过数万台新机台。
台积电是全球半导体代工龙头,今年光是上半年营收就高达4,813亿多元,单季平均2,400多亿元,原本预估第三季营收还会再持续提高,达到2,600亿元之高。尤其7纳米先进制程晶圆厂正快马加鞭赶工中,为的就是生产苹果今年主力产品新款iPhone的核心零件A12处理器。
但是,没人想得到,8月3日傍晚这一次新机台的安装却出状况,安装人员一个小动作的疏忽,竟然造成了台积电全台产线大当机,营收损失预估更是高达52亿元天价,创下台湾有史以来损失金额最高的资安事件,远远超过去年遭骇盗转18亿元的远银事件,全球媒体和分析师们,更担心大当机延迟了新款iPhone的出货时程而高度关注。
一篇BBS文章,披露台积产线大当机事件台积电大当机事件最早曝光是在8月4日凌晨,台湾最大BBS社交PTT的八卦版上一篇“有没有台积电大当机的八卦”的贴文引起了众人关注,不少台积网友留言,回报各地厂区产线当机情况,也有网友反应,3日晚上台积还突然关闭了门禁系统,禁止人员离开晶圆厂,为得就是要彻底大清查。
这篇贴文讨论越演越烈,甚至蔓延到其他更多讨论区,如Tech_Job版也开始揭露更多晶圆厂中毒当机消息,也有人留言台积电紧急召回数百人回厂抢修。
台积电中毒事故很快引起媒体关注,电视台更是以跑马灯新闻披露,引起更多网友纷纷揭露自己看到的情况,包括台积电位于竹科的晶圆12厂、中科的晶圆15场以及南科的14厂,都传出产线当机事件,等于是台积电全台主要晶圆厂都沦陷,关键的7纳米制程产线更是首当其冲发生事故。
到了早上,不只台湾媒体纷纷报道台积电产线中毒大当机事件,连国外媒体也开始关注,外媒尤其担心,苹果秋季最重要的新款iPhone出货时程,会不会因此而受影响,台积电晶圆厂的事故,不只影响台积电而已,甚至可能冲击到近来登上全球第一家兆元企业的苹果,年度最重要的新产品布局,也会影响全球iOS生态系市场局势。
台积电过去向来是资安模范生,层层管制、严格把关的种种资安措施更为人津津乐道,甚至视为业界最高标准之一,不只任何一支USB都不能入厂,就连全球科技大厂执行长来台参观台积电厂房时,都得在门口柜台缴出手机,笔电贴上封条,没有例外。如此严密防护的台积电,竟然也会中毒,甚至是全台厂房都出事!这个消息震惊了各界。病毒如何进入感染,也成了各界热议的话题,USB感染或外部骇客攻击是外界推测出事的两种可能原因。
8月4日凌晨,台湾最大BBS论坛PTT上的一篇文章,披露了台积电产线大当机的消息,不少网友也留言回报多起产线当机事件,快速引起媒体高度关注,甚至成了国际新闻。
台积电隔日证实,当机事件源于机台中毒,而非骇客入侵8月4日中午,台积电首度出面回应,证实了机台中毒的消息,但否认是外部骇客入侵。稍晚,约3点半前后,台积资深副总经理暨财务长何丽梅也具名在公开观测站网站上正式发布重大讯息公告,证实8月3日傍晚部分机台遭受病毒感染,而非外传的骇客攻击,也透露,台积电已经控制病毒的感染范围,并且找到了解决中毒问题的方案,开始修复机台,让受影响的机台恢复生产。在8月4日已有部分工程恢复正常,台积并预告其余工厂将在一天内恢复正常。
但是,尽管台积电很快地证实了中毒消息,但没有进一步说明病毒入侵方式,以及实际受病毒感染的影响范围,尤其是否如网友披露的灾情遍及北、中、南各地晶圆厂。这个短短不到120字的公告说明,仍旧引发了各界更多疑虑和讨论,尤其新款iPhone处理器出货的7纳米制程产线是否受创,这次事件对台积电又会造成多大的影响,依然状况不明。
事件发生第三天,8月5日,虽然是星期日,但台积产线中毒事件的讨论越演越烈。到了下午3点前后,这是台积电第一次公告所预告的24小时复原期限,台积电还没出面说明,仅透露傍晚会以新闻稿说明。直到4点46分,台积财务长再次于公开观测站上发布第二次公告,这次公告揭露的就是众人最好奇的其中一项资讯,病毒感染事件的影响。
台积电在公告中,进一步揭露病毒影响范围以台湾厂区为主,各厂影响程度不一,从8月3日傍晚中毒事件发生后,到8月5日下午2点为止,受影响的机台已经有80%恢复正常,也就是在原订预告的24小时复原承诺期限,只复原了8成,其余2成,还要等到8月6日才能恢复正常运作。
初次预估营收冲击将高达78亿元这次病毒事件也造成台积晶圆出货延迟,以及相关成本的增加。台积预估会对第三季的营收影响约3%,对毛利率的影响也有1%。换句话说,以台积先前公布的第三季营收预估约2,600亿元,这次罕见的产线中毒事件,将会造成台积电第三季营收短少约78亿元之多,打破了台湾历年资安事件影响金额的纪录。
产线中断最大的影响是出货延迟,台积预估可以延后到第四季时全数补回。但因延迟交货也会拖累到顾客产品时程,台积电透露已经向顾客说明,重新协商晶圆交货时程,并承诺会在未来几天向顾客说明细节。
另外对于中毒原因,台积也首度坦承是人为操作疏忽,因为新机台安装软件过程没有按照SOP而酿灾,再加上新机台连上公司内部电脑网络而导致病毒扩散。台积在中毒后也同步清查内部资料的完整性和机密资料,所幸,这部分都没有受到影响,没有遗失或损失这些资料。
一个疏失,造成78亿元的巨额损失和延迟交货,成了新话题。为何会造成这么大的损失?台积电没有细讲,但也更证实了多数厂房和产线受创停工的消息。另一个引起IT圈讨论的是,为何病毒可以跨地理区扩散?尽管台积还没证实。但当时已传出引起事故的病毒是WannyCry勒索软件,但就算是勒索软件,一般企业不同地理区的,多半会各自有独立的内部网络,彼此通过防火墙隔离控管。但是台积这次中毒事件,在短短一个晚上,就快速蔓延到三地,再加上新闻稿提及,病毒通过“内部电脑网络”感染到其他厂区。这个速度和渗透“内部电脑网络”的威力,更让人惊讶,也很像是有人操控层层破解多道防护来入侵的APT手法。第二次公告,尽管让外界对中毒事件的影响,有了初步了解,但因影响金额的巨大,再加上对于向来以资安严密着称的台积电,内网防护如此容易瓦解,而让外界依旧费解。再加上,8月6日是事件发生后的第一个股市交易日,巨额损失和后续修复情况未明,这个事件依旧引起更多传闻和揣测。
依照政府规定,若企业重大事件影响超过3亿元或股价20%,除了发布公告外,还得出面召开说明。证券交易所原本在事件发生第二天也只是要求,台积电要发布公告说明,也引起部分人推测,损失金额可能没有达到3亿元,因此没有召开重大讯息说明会的必要。
但在星期天的预估影响金额一曝光,果不其然,星期一股市一开盘,台积电股价就下滑,尽管最终跌幅不到1%,但证券交易所也要求台积电必须召开公开说明会,公开回应外界的提问,来消弭各种传闻后续可能引起的股市动荡。
总裁带头亲上火线,召开公开说明会释疑所以,台积电也在8月6日在台湾证券交易所召开重大讯息说明记者会,来解释事件经过和最新处理状态,由台积电总裁魏哲家亲自上阵说明,连同多位高层主管列席,包括:资深副总经理暨财务长杜丽梅、企业讯息处资深处长孙又文,资讯技术资深处长陈文耀(IT主管),以及负责这次资安事件处理的技术系统整合处处长吴俊宏。
魏哲家在说明会一开场说明,所有状况已经在8月6日下午全部排除,台积电所有产线百分之百全速上线生产的状态,并且强调公司主要的电脑系统,包括生产制造资料库以及客户资料,都不受到此次病毒影响。
在这次事件当中,受影响的机台、自动搬运系统与电脑感染的病毒,是源自于去年5月肆虐全球的勒索软件WannaCry的一个变种,因为台积电这些设备所用的作业系统是Windows△7,尽管微软早已提供了相应的安全修补程式,但是台积电通常得经过审慎评估,才能进行安装,目前这些电脑都没有安装更新。所以,才让病毒能够乘虚而入的机会。文章未完,请见【台湾史上最大资安事件】深度剖析台积产线中毒大当机始末(下)
?
台积电产线中毒大当机推论时程?
Day△1 8月3日?
?8月3日周五傍晚?
新机台准备安装
台积电产线进行新机台安装作业。台积电新竹某晶圆厂进驻一台产线新机台,准备安装后在周末上线,采取如过去数万台新机台部署一样的作业流程。
?
?8月3日晚上?
新机台上线
新机台安装前需完成一系列人工检查作业,但安装人员还没扫毒前,就将新机台先连上网络(原有SOP规定得先扫毒)。
?
病毒发动攻击?
数分钟内出现灾情,新机台内藏WannaCry变种病毒,开机后自动感染其他主机。一开机完成后,WannaCry就自动扫描同一网络内的所有电脑主机,发动EternalBlue漏洞攻击(锁定445埠感染),进行扩散感染。
?
病毒扩大感染
数小时内,WannaCry扩大感染各地晶圆厂。因台积旗下所有半导体厂都串连到同一个生产内网上,导致WannaCry变种病毒快速散播感染到北、中、南科等地厂房中,主要中毒机台采用的是Windows△7系统。在台湾厂与海外厂区间则设有防火墙隔离,因而阻止了WannaCry的境外感染。
?
启动紧急应变程序
中毒事件发生后,台积电启动紧急应变程序,包括召回数百名CIM人员和IT人员,展开全台抢修,也进行电脑断网(拔网络线以阻断感染)、重灌机台系统等工作。台积电第一时间也同步执行资安管制措施,查看系统资料完整性,确认机密性资料是否受到影响。另外还紧急通知受影响订单的顾客,并派出各厂工程人员评估生产中晶圆受损、报废情况。生管人员也重新调整新的生产排程。
?
灾情扩大
台积电各地晶圆厂陆续传出更多灾情,甚至多厂产线中断,更多产线机台或天车系统,因WannaCry变种病毒而发生当机或重开机情况,其中又以7纳米、12纳米等先进制程产线的中毒灾情较大。
?
Day△2 8月4日?
?8月4日凌晨?
事件曝光
凌晨,台积电资安事件曝光。PTT△BBS八卦版率先披露台积产线大当机事件。后续引起多家媒体报道,甚至登上国际媒体,成为国际新闻事件。
?
?
?8月4日下午2点?
台积电对外说明
台积电公开证实产线中毒事件,也首次对外说明。台积电坦言,部分机台感染病毒,但否认发生骇客攻击,并指出部分工厂已经恢复。
?
?8月4日下午3点?
台积电首度公告
台积电也在公开资讯观测站网站发布重大讯息公告,说明8月3日电脑病毒感染事件,并预告1天内可以全面恢复产线运作。
?
?
Day△3 8月5日?
?8月5日下午4点?
台积电二度公告
台积电进一步说明中毒灾情,并透露恐损失78亿元。台积电再次揭露中毒事件细节,首度坦言因新机台安装软件过程操作失误酿灾,强调资料完整性和机密资讯皆未受影响。也首度公布损失预估,第三季营收将影响3%,毛利率则有1%的影响,预估损失77~78亿元。因产线中毒造成的出货延迟则将在第四季补回。
?
复原进度延后
台积电原订预告的24小时复原承诺时间(8月4日下午2点)内,80%机台先恢复生产,但仍有少数先进制程机台需进一步检测,或搬运系统有待复原。台积电宣布延后复原时程,得等到8月6日才能完全恢复。
?
Day△4 8月6日?
?8月6日下午?
台积电全线恢复生产
所有受影响机台和设备全面复原,各厂全线恢复生产,台积电进一步评估实际的灾情损失,并同步寻找未来对策。
?
?8月6日下午5点?
台积电召开公开说明会
因为预估损失金额超过3亿元,台积电也在台湾证券交易所召开重大讯息说明记者会,由台积电总裁魏哲家亲自带头,连同代理发言人、财务主管、IT主管、资安主管,公开解释机台中毒事件的始末,以及未来因应措施。进一步盘点后,台积电预估损失约58亿元,比原先预估的78亿元损失再降低。
?事件后短期措施? 优先解决延迟交货问题,预计第四季全数补回,并对顾客说明事件处理细节。另外,台积电将开发新机台安装自动检测机制,搭配人工检查并行,并建立连网防呆机制,只有完成双重检查的设备,才由系统授权连上生产内部网络,以排除人为疏失。
?事件后长期措施? 台积电承诺将持续与资安单位合作,强化相关资安系统。另外也会安排合适时机,进行所有机台Windows△7系统的更新和修补工作。
资料来源:iThome整理,2018年8月
?
?更多台积资安事件相关报道?
【台湾史上最大资安事件】深度剖析台积产线中毒大当机始末(下)
台积电为何迟迟不修补机台Windows漏洞?不是不愿意,其实是无能为力
相关:
【台湾史上最大资安事件】深度剖析台积产线中毒大当机始末(下)
图片来源: 台积电 台积电晶圆厂之所以爆发大规模的病毒感染有两个关键,台积电总裁魏哲家坦言,原本新机台上线的程序,是必须先通过防毒软件的检测,才能连上网络,但此次的疏失是,安装人员先将机台连上网络,再开始
美国洛杉矶一间超市发生挟持人质事件,一位逃避警方追捕的疑犯撞车后,在街上连开数枪,之后走入超巿。报道指,疑犯冲入超市时,有顾客尖叫逃离,相信超巿内部分职员及顾客已被挟持作人质,警方已大举包围现场。美国
美国洛杉矶警方成功解决银湖区超市的抢手挟持人质事件,疑犯被锁上手扣带走,超市一位女子死亡。事发于当地周六下午一点半,疑犯驾车逃避警方追捕期间撞车,之后在街上与警员驳火,并冲入超巿挟持顾客,经谈判专家游
美国洛杉矶警方成功解决银湖区超市的枪手挟持人质事件,疑犯被锁上手扣带走,超市内一位女子死亡,另一位疑犯逃走时挟持的女子受伤送院,情况稳定。事发于当地周六下午一点半,疑犯驾车逃避警方追捕期间撞车,之后在
美国传媒指联邦调查局取得一段,总统特朗普前私人律师科恩,在前年总统大选前两个月,秘密录下与特朗普的对话录音,内容提到向一位声称与特朗普有染的花花公子离志前模特儿麦克杜格尔,支付掩口费。正在新泽西州度周