不見血的戰爭
駭客衝擊地緣政治6套網攻腳本 解密中國駭客
你將看到:
● 中國大陸、俄羅斯、美國等,如何利用駭客影響國安、掀起外交攻防?
● 台灣為何是駭客攻擊熱點、哪些領域最容易受攻擊?
● 拆解6套中國駭客攻擊腳本、背後可能目的
● 台灣要如何強化防禦力,避免單方面「挨打」?
7月底,4年一度的奧運即將在巴黎熱烈登場,全球運動員積極備賽同時,由雷古爾(Franz Regul)領導的網路安全團隊,也正在巴黎奧運組委會佈滿伺服器、監控螢幕的辦公室內「備戰」。
雷古爾接受《紐約時報》採訪時預估,相較2021年東京奧運攔截到的4.5億次威脅,巴黎奧運遭網攻的次數,恐是東京奧運的8到12倍。威脅可能來自四面八方,俄羅斯、中國大陸、北韓、伊朗等國駭客組織,現都有癱瘓和滲透證件掃描器、活動計時、售票等系統的能力。
雷古爾並非杞人憂天。據資安廠商統計,去年全球共攔截到近兩千億次威脅,世界經濟論壇「2024全球風險報告」將網路攻擊(Cyberattacks)列為目前全球第五大風險。專家示警,由國家支持、 武器和戰術都更加先進的國家級駭客近年愈趨活躍,從潛伏軍港、電廠、國防系統,伺機癱瘓,到散布假訊息介選、駭入銀行與企業,影響產業及金融正常運作,處處可見攻擊痕跡。
全球主要國家都參與了這場駭客大戰。剛落幕的七大工業國集團(G7)義大利高峰會,美、德、英、法等與會領袖特別在聯合公報中指責中國惡意網路活動,指其威脅民眾的安全、隱私,讓關鍵基礎設施面臨風險,呼籲中國恪守「在網路空間負責任行事」的承諾。
在G7高峰會之前,美中兩國間早因駭客組織「伏特颱風」屢次針鋒相對,北約、歐盟日前也相繼發聲明譴責俄羅斯駭客,中俄與歐美間在駭客議題上衝突日益加劇,大國博弈戰場蔓延到網路。身處地緣政治要角、台海緊張情勢中的台灣,無可避免成為全球駭客攻擊熱點及跳板,除了肉眼可見的軍演,來自對岸的網攻時刻都在發生。
面對這場不見血、沒有煙硝味的戰爭,我們準備好了嗎?
外交攻防:水廠、電網被入侵?「伏特颱風」掀中美衝突
駭客網攻因難以證實行動背後的雇傭關係,一向是國家間的灰色衝突地帶,但今年上半年,灰色地帶浮上檯面,駭客組織「伏特颱風 Volt Typhoon」(註1)
在中美兩大國間掀起狂風巨浪,兩國措詞嚴厲、相互指控與譴責,唇槍舌戰引發國際關注。
事件怎麼發生的?
2023年5月
微軟率先針對「伏特颱風」發布威脅情報,指「伏特颱風」2021年就開始針對關島及美國本土通訊、運輸、政府部門、製造業等各領域進行惡意攻擊,目的可能是在台海、南海情勢緊張時,破壞美國和亞洲地區的通訊管道,並直接點名「伏特颱風」背後由北京政府資助。
2024年1月
美國聯邦調查局(FBI)、網路安全暨基礎設施安全局(CISA)、國家安全局(NSA)大動作聯合發布報告,指「伏特颱風」過去5年間透過老舊路由器、防火牆和虛擬私人網路(VPN)漏洞,滲透進軍港、通訊等關鍵基礎設施,不只衝擊美國,也可能影響到美國的「五眼」盟友,包括加拿大、澳大利亞、紐西蘭和英國。
" 中國正加強大規模的駭客行動,目的是在台灣發生衝突時,摧毀美國電網、石油管道和供水系統,製造混亂、削弱美國戰鬥意志,並阻礙美國軍隊部署資源。"
—美國聯邦調查局局長Christopher A. Wray
2024年4月
中國國家電腦病毒應急處理中心發布一份長達21頁的調查報告反擊,透過分析IP位置、攻擊特徵,指「伏特颱風」攻擊手法與勒索病毒集團Dark Power更為接近,並非中方支持,更嚴厲批評美國以駭客抹黑中國,是為了鼓吹「中國威脅論」,藉此跟國會爭取更多預算,微軟等由美國掌控的科技公司,則能從中獲得政府合約。
美國把網路攻擊當成政治遊戲、當成打壓中國的工具,只會破壞國際公共網絡空間的正常秩序,破壞中美關係。—《伏特颱風: 美國情報機構針對美國國會和納稅人的合謀詐欺行動》報告
2024年5月
美國國務院負責網路空間、數位政策的官員費克(Nathaniel Fick)接受《路透社》採訪時表示,美國國務卿布林肯4月底訪中期間,美方已針對伏特颱風議題「面告」中國,明確表達駭客行為是危險、增加對立、不可接受的,中方則依舊駁斥指控缺乏證據。
2024年6月
美國新任國安局長郝格(Timothy Haugh)在新加坡「香格里拉對話」安全會議期間接受《華爾街日報》訪問,再次表達對中國駭客的憂心,更示警中國駭客若長期潛伏,在台海發生衝突時,就可以利用其潛在網路存取權,對美國或盟友的供水、運輸等重要基礎設施發動破壞性網攻,恐衝擊平民。
「伏特颱風」不是今年唯一一次中美雙方在駭客議題互槓。今年3月,美國和英國以「從事惡意網路行動」為由,聯手制裁2名中國駭客及1公司,美國司法部更同時起訴7名參與組織的中方駭客。起訴書指出,7人皆屬駭客組織「APT31」(又稱Violet Typhoon,紫羅蘭颱風),APT31透過湖北省國家安全廳成立的武漢曉睿智科技公司運作,該公司登記從事研究發展,實際上是執行中國國家安全部的網路間諜計畫。
據美方調查,從2010年至今,APT31假冒機構或記者寄送超過1萬封惡意郵件,收件者打開郵件後,所在位置、IP等都會被竊走,組織再依此發動更有針對性的駭客行動。白宮、司法部、國務院、參眾議員、學界、企業等都是受害者。不過,中方外交部一樣否認所有指控,認為英美制裁是「缺乏事實的誹謗」,中方才是網路攻擊受害者之一。
英國和中國今年在駭客議題的衝突也日益激烈,英國繼3月與美國一起出手制裁,英國首相蘇納克(Rishi Sunak) 5月初再次公開指責北京官方入侵英國國防部薪資系統,試圖竊取現役軍人的個資,以及破壞軍方使用的支付系統,兩國關係因駭客攻防愈趨緊張。
國防安全研究院網路安全與決策推演研究所副研究員曾怡碩表示,中國「養」國家級駭客的方式較像雇傭兵,會透過成立民間公司招攬人才,或開出標案讓既有公司來投標,也會動用國家監控網絡,例如拿捏對方犯罪事實,藉此吸收人才。以公司來執行國家任務的好處在於對外有掩護,就算駭客被查到,也難以證明駭客組織背後的國家雇傭關係。
一位不具名的學者分析,美國上半年打擊力道強勁,「很不尋常」,背後可能與戰略布局、正值美選年都有關,美國除了希望藉此鞏固西方盟友,在中美博弈中展現強悍的反制力,也是向國內和國際宣示,美國有能力抓到駭客,更要透過嚴厲舉措警告北京,防止經濟放緩的中國仿效北韓,靠駭客勒索、入侵來取財。
真實攻擊:俄烏戰爭看見駭客威力 全球遍布未爆彈
2年前爆發的俄烏戰爭,更是全世界第一次看到駭客戰跳出網路螢幕、外交攻防,會是什麼情景。戰爭初期,俄羅斯駭客大量使用DDoS(分散式阻斷服務),破壞烏克蘭水電、金融、通訊等關鍵設施,造成烏克蘭對外通訊一度中斷,政府機關網站、兩大銀行都被癱瘓。烏克蘭駭客隨後也號召好手反擊,攻佔俄羅斯新聞頻道、播放烏克蘭遭攻擊的畫面,打心理戰。
" 戰爭型態已經變了,資安會是未來戰爭第一關。"
—數位發展部部長黃彥男
資安是新任數發部長黃彥男的專長領域,也是他相當重視的環節。黃彥男表示,俄羅斯能這麼快發動網路攻擊,代表俄方應已潛伏在烏克蘭基礎設施一段時日,「俄烏戰爭讓全世界知道,敵軍攻擊不用靠飛彈,靠駭客就能製造混亂與不安」,且攻擊威力不亞於炸彈,都能癱瘓民生重要設施。
黃彥男指出,油水電、通訊等關鍵基礎設施通常是國家級駭客主要攻擊目標,也是國家最脆弱處,假設電力系統被破壞、配電出問題,時間一長不只影響用電,電信基地台會斷訊、住宅加壓馬達無法打水、金融ATM無法運作,「停電8至10小時,社會就會癱瘓」。
將駭客攻擊比喻成戰爭並非誇大,點開資安大廠Check Point、Fortinet的即時威脅地圖,隨時都可以看到代表網路威脅的線條,不間斷從各國「發射」,全球在網路世界中早已腥風血雨。黃彥男表示,台灣每天都遭遇數以萬計的攻擊,已被民眾所知的是少數,還有許多因戰略考量未公開,或根本還潛藏在基礎設施中、尚未被發現的「未爆彈」,準備在台海情勢緊張時引爆。
台灣每秒1.3萬次攻擊 是熱點更是「跳板」
趨勢科技2023年度網路安全報告顯示,去年全球共攔截到1610億次威脅,創歷史新高,平均每秒超過5千次;微軟(Microsoft)2023年數位防禦報告進一步列出全球駭客攻擊鎖定熱區,烏克蘭、以色列、南韓、台灣都名列其中,台灣躍居亞太地區攻擊熱點第2名,排名僅次於南韓。
台灣上榜 駭客全球攻擊熱點一覽
註:占比為威脅事件量占該地區總量的比率
資料來源/2023年微軟數位防禦報告
據資安廠商Fortinet旗下FortiGuard Labs統計,台灣2023年每秒有近1.3萬次威脅發生,占亞太區超過4成;資安廠商Check Point報告也揭露,台灣受攻擊次數是全球的2.6倍,各組織每周遭受的攻擊次數高達3250次。
「我們是很好的跳板」。台灣數位安全聯盟前理事長、微智安聯創辦人蔡一郎表示,台灣資通訊普及度極高,平均每個人都有5至6個連網裝置,在駭客眼中,每個裝置都是一個攻擊點。攻擊不一定都針對台灣,例如中美關係緊張、中國大陸駭客要攻擊美國,也可能先鎖定裝置多的台灣,再順勢跳到美國。
反之,駭客也可能從歐美「跳」到台灣。黃彥男舉例,釣魚網站是駭客常見「敲門磚」,若回頭追溯釣魚網站的來源地,會發現很多來自美國或歐洲國家,背後都可能是中國駭客先潛伏進許多美國民間電腦,再從這些被入侵的電腦向台灣發動釣魚攻擊。
資安科技公司奧義智慧客戶跨足半導體、金融、政府,共同創辦人吳明蔚觀察,外媒曾形容台灣是駭客發動資訊戰的「練兵場」,「打別的國家可能導致外交緊張,但攻擊台灣不需考慮太多後果」,外交處境劣勢,讓駭客攻擊更加肆無忌憚,台灣就像隨時處於槍林彈雨中,遭受到的威脅和挑戰,絕不亞於美國等大國。
6套網攻腳本 解密中國駭客
黃彥男表示,雖不是所有攻擊都一定來自對岸,但台灣確實處於較緊張的地緣政治環境,破壞關鍵基礎設施、帶有政治目的性的攻擊,無論來源地是不是直接指向中國,都可能是對岸台海布局的一環,「兩岸關係一定有影響」,皆須謹慎以待。
Google去年底發布的2024年網路安全預測,將中國、俄羅斯、北韓、伊朗列為全球駭客「四巨頭」,其中針對中國,Google預測其今年將持續展開各種網路攻擊行動,以達政治和軍事目的,尤其是在台海、區域霸權、強化全球經濟影響力等面向。
上月甫落幕的台灣資安大會,包括趨勢科技、TeamT5等資安廠商,也都在會上揭露中國駭客動向。TeamT5網路威脅分析師黃立安表示,近年不僅觀察到中方攻擊量持續增加,手法也產生變化,過去慣用釣魚信件,但近期發現駭客開始利用邊緣裝置(註2) 漏洞,由於邊緣裝置是電腦必須使用的服務,防毒軟體通常不會阻擋,且找到一個漏洞,就可以打下使用同樣裝置的所有電腦,更難防範,「攻擊流程愈來愈進步」。
中國駭客組織特徵
● 與台灣作息相近,多在白天上班時間活動,也會午休
● 有慣用的惡意程式和軟體,如PlugX、ShadowPad等
● 組織間會共享工具,彼此互相合作、分工
● 殘留攻擊痕跡(如程式碼)中,有時會留下未清乾淨的簡體中文
資料來源/記者整理
「現在的攻擊,已經是傳統防毒軟體很難想像的境界。」TeamT5網路威脅分析師張哲誠表示,日前上海安洵信息公司(I-SOON)文件外洩,團隊審視相關資料後發現,中國資安圈和政府合作相當緊密,政府會和民間駭客簽訂契約,提供經濟支持讓民間研發工具、尋找漏洞,在這種產官合作模式下,對台灣資安圈是很大挑戰。
吳明蔚表示,受政府支持的國家級駭客相較一般網路犯罪分子,技術能量更強、攻擊速度更快,也更具針對性,「每次行動背後都有一套完整劇本」,公部門、關鍵基礎設施、上市櫃企業,尤其是製造業及半導體業,是駭客攻擊台灣的「重中之重」。本報採訪專家、學者,拆解近年來6起台灣及國際間重大資安事件,解析中國駭客如何影響台灣及全球社會秩序,以及攻擊背後可能目的為何。
註:本文所述腳本為記者採訪專家、彙整相關資料及實際案例歸納整理,目的是幫助讀者了解駭客手法、潛在威脅及可能衝擊,腳本僅供參考,《聯合報》不鼓勵任何非法行為。
點擊腳本看解析
腳本➀|2024選舉風暴 釣魚郵件突破民眾防線
黃彥男表示,雖不是所有攻擊都一定來自對岸,但台灣確實處於較緊張的地緣政治環境,破壞關鍵基礎設施、帶有政治目的性的攻擊,無論來源地是不是直接指向中國,都可能是對岸台海布局的一環,「兩岸關係一定有影響」,皆須謹慎以待。
Google去年底發布的2024年網路安全預測,將中國、俄羅斯、北韓、伊朗列為全球駭客「四巨頭」,其中針對中國,Google預測其今年將持續展開各種網路攻擊行動,以達政治和軍事目的,尤其是在台海、區域霸權、強化全球經濟影響力等面向。
上月甫落幕的台灣資安大會,包括趨勢科技、TeamT5等資安廠商,也都在會上揭露中國駭客動向。TeamT5網路威脅分析師黃立安表示,近年不僅觀察到中方攻擊量持續增加,手法也產生變化,過去慣用釣魚信件,但近期發現駭客開始利用邊緣裝置(註2) 漏洞,由於邊緣裝置是電腦必須使用的服務,防毒軟體通常不會阻擋,且找到一個漏洞,就可以打下使用同樣裝置的所有電腦,更難防範,「攻擊流程愈來愈進步」。
中國駭客組織特徵
● 與台灣作息相近,多在白天上班時間活動,也會午休
● 有慣用的惡意程式和軟體,如PlugX、ShadowPad等
● 組織間會共享工具,彼此互相合作、分工
● 殘留攻擊痕跡(如程式碼)中,有時會留下未清乾淨的簡體中文
資料來源/記者整理
「現在的攻擊,已經是傳統防毒軟體很難想像的境界。」TeamT5網路威脅分析師張哲誠表示,日前上海安洵信息公司(I-SOON)文件外洩,團隊審視相關資料後發現,中國資安圈和政府合作相當緊密,政府會和民間駭客簽訂契約,提供經濟支持讓民間研發工具、尋找漏洞,在這種產官合作模式下,對台灣資安圈是很大挑戰。
吳明蔚表示,受政府支持的國家級駭客相較一般網路犯罪分子,技術能量更強、攻擊速度更快,也更具針對性,「每次行動背後都有一套完整劇本」,公部門、關鍵基礎設施、上市櫃企業,尤其是製造業及半導體業,是駭客攻擊台灣的「重中之重」。本報採訪專家、學者,拆解近年來6起台灣及國際間重大資安事件,解析中國駭客如何影響台灣及全球社會秩序,以及攻擊背後可能目的為何。
註:本文所述腳本為記者採訪專家、彙整相關資料及實際案例歸納整理,目的是幫助讀者了解駭客手法、潛在威脅及可能衝擊,腳本僅供參考,《聯合報》不鼓勵任何非法行為。
點擊腳本看解析
腳本➀|2024選舉風暴 釣魚郵件突破民眾防線
圖/聯合報系資料照
中國駭客組織地球盧斯卡(Earth Lusca)日前被資安公司揭露,在2024台灣總統大選期間,利用兩岸地緣政治敏感議題,以社交工程手法發動網攻。該組織至2020年活躍至今,攻擊手法推陳出新,此次攻擊在2023年12月至2024年1月期間最頻繁,據資安業者Trellix發布的調查報告顯示,大選期間中國駭客網路攻擊頻率幾乎逐日倍增,如1月11日到1月12日之間,惡意網路活動數量從1758起急遽增加至4300多起。
今年2月,「上海安洵信息公司(I-SOON)」發生資料外洩事件,疑似自家員工將數十份文件公布上網,揭露安洵公司長年替中國國安部、公安部及解放軍等政府機關發動網路攻擊,台灣、英國、泰國及北約組織都曾遭駭。趨勢科技調查報告顯示,地球盧斯卡疑似為上海安洵信息公司背後的滲透團隊,其IP位址、頻繁使用的惡意程式與工具、受害者皆高度重疊。
中國民間資安公司安洵文件外洩,意外揭露中國政府對海內外監視與網攻情況。圖/美聯社 
手法
地球盧斯卡主要針對關心台海議題的學者、機構、民眾,以名為「China’s gray zone warfare against Taiwan」(中國對台灣進行的灰色地帶戰爭)的軍事情報檔案作為誘餌,藉此突破收件者心防、引導點擊下載壓縮檔。趨勢科技報告中分析,壓縮檔都偽裝成Word和PDF,駭客還建立了名為_MACOS的資料夾,讓受害者誤以為檔案來自Mac電腦,以增加可信度。目標對象一旦點開該資料夾,惡意指令就會在電腦中執行,駭客就能藉此竊取機密資訊。
繼地球盧斯卡之後,趨勢科技又再揭露另一起中國駭客組織行動—地球克朗(Earth Krahang)。該組織鎖定含台灣在內的45個國家、116個單位進行「 魚叉式網路釣魚(註3) 」,主要目的為資料竊取,包含文件、電子郵件等。行動研判始於2022年初,目前已有70個組織遭入侵,其中48個為政府單位。由於其下載惡意程式的IP位址與地球盧斯卡高度重疊,加上從安洵被洩露的資訊推斷,地球克朗疑似也是安洵幕後滲透團隊之一。
台灣是全球造訪最多惡意網址的第3名
資料來源/趨勢科技《2023年度網路安全報告》
專家解析
趨勢科技核心技術部門資深研究員陳健宏表示,團隊追蹤地球克朗(Earth Krahang)超過兩年時間,發現該組織特點在於擅長利用信任關係,例如會利用已入侵的A政府單位帳號、伺服器,寄信給B單位,藉此降低對方戒心,提升攻擊成功機會,且多運用與外交主題相關的文件,增加對方點擊的誘因。
奧義智慧共同創辦人吳明蔚表示,釣魚郵件攻擊成本低,今天寄10封出去沒人開信,隔天就換個內容、標題,再寄100封出去,「寄信沒成本,駭客就慢慢等待何時會有人不小心點開」,且釣魚信件可怕之處在於,只要單位內有一個人開啟,不管點開者權限如何,都等同駭客已攻入內網,一旦進入內網,駭客就可以做很多事,能一路「敲敲打打」、四處擴散,總會找到取得控制權的破口。
吳明蔚指出,雖然釣魚信在進到目標對象信箱前,會一路經過防火牆、防毒軟體、Email廠商偵測等各環節,但駭客部署惡意程式的手法愈來愈先進,加上釣魚信件數量已經多到很難僅靠個人資安意識來防範,要思考的是如何透過科技賦能,讓大家不怕點信、不慎點開後也不會「受傷」,這也是奧義智慧和許多資安公司都在努力的方向。
腳本➁|勒索風暴:半導體、光學科技大廠都遭挾持
圖/Getty Images
近年政府機關、上市櫃企業遭勒索軟體(Ransomware)襲擊事件頻傳,不僅影響營運,更造成鉅額虧損。年初,鴻海集團旗下半導體設備大廠京鼎驚傳遭受網路攻擊,駭客直接透過京鼎官網發布勒索訊息,宣稱該公司內部資料遭竊,並威脅京鼎若不支付贖金,將公開客戶資料,員工也會因此失去工作。這是國內首例駭客竊取資料後,直接「挾持」上市櫃企業網站,引起全台、全球半導體產業高度關注。
鴻海集團旗下半導體設備大廠京鼎遭駭客入侵,駭客直接挾持京鼎公司網站,昭告天下京鼎內部資料被竊。圖/擷取自京鼎網站 
由趨勢科技發布的2023年資安威脅報告指出,台灣去年共偵測到45萬次勒索軟體攻擊,高居全球第4位。去年台積電供應商擎昊科技、宏碁科技等企業接連遭駭客勒索;今年4月,台灣電腦周邊產品大廠群光電子也傳出遭勒索軟體攻擊,駭客集團Hunters International聲稱取得1.2TB資料、約420萬份檔案。
勒索軟體威脅範圍更不只企業,早在2020年5月,台灣中油公司就曾被中國國家級駭客組織黃銅颱風(Brass Typhoon,又名APT41、Winnti)以勒索軟體攻擊,導致公司緊急斷網、影響全台加油站運作。調查局指出,中油最早在2016年4月就被植入惡意程式,駭客早已取得電腦主機控制權並潛伏已久。
台灣去年遭勒索軟體攻擊45萬次 全球排名第4名
資料來源/趨勢科技《2023年度網路安全報告》
手法
勒索軟體感染途徑通常有兩個主要方式,一是經由釣魚郵件,二是透過攻擊軟硬體供應商,例如印表機、攝影機等設備的「供應鏈攻擊」。台灣數位安全聯盟前理事長、微智安聯創辦人蔡一郎指出,只要一間供應商跟目標企業有郵件、資料往來,或者向外採購、租借的設備未做好密碼管理及內網隔離,就都可能是駭客下手目標;公部門則因採購案都須公開,駭客也會針對政府採購的設備去研究該廠商有哪些漏洞可鑽,再運用設備做為跳板,滲透進機關內部。
蔡一郎舉例,他曾替某企業找尋資料外流的破口,發現原來潛藏在印表機。駭客先在印表機原廠的雲端服務找到漏洞,該企業網管人員又沒有將外部印表機與內部網路做適當隔離,公司曾列印的資料,如同仁影印戶口名簿、身分證、尾牙抽獎名單等,以及列印者的信箱或電腦IP都一覽無遺。
某企業租借之印表機因未做好密碼管理,員工列印、暫存在機台內的身分證等影像和個資都有外流風險。圖/蔡一郎提供
專家解析
資安公司TXOne Networks觀察,過去勒索軟體組織多是單槍匹馬作戰,獨自尋找漏洞、開發惡意程式,但近年開始分工合作,有些駭客負責掃描、尋找漏洞,有些則負責開發惡意工具、贖金支付系統等,形成「 勒索軟體即服務(RaaS)(註4) 」。此外,為謀取更大利益,近年來供應鏈成為勒索軟體組織覬覦目標,因只要滲透單一供應商,就有機會連帶感染多家企業、達到更大規模的勒索。根據聯邦調查局(FBI)旗下的組織IC3發布的《2023年資安虧損報告》顯示,去年勒索軟體所造成的金額損失超過5960萬美元。
國防安全研究院網路安全與決策推演研究所副研究員曾怡碩表示,勒索背後通常不只為牟利,表面上各界只看到駭客組織目的是賺錢,但幕後都不排除可能有政治力量介入,用勒索錢財來掩護取得資料的真正目標,「是很好的混淆、隱藏手法」。俄烏戰爭爆發前,隸屬於俄羅斯總參謀部情報總局的官方駭客組織「沙蟲(Sandworm)」就曾透過勒索軟體駭侵,目的是破壞烏克蘭網路、竊取預計攻擊的關鍵基礎設施情資。
此外,勒索軟體不只加密資料時可用,在攻擊腳本中,也常被駭客用作抹去證據的最後一步。吳明蔚指出,中油事件發生時,各界以為勒索軟體是主要攻擊手段,但其實攻擊方布置了一系列縝密流程,勒索病毒只是駭客丟的煙霧彈,目的是「加密」犯罪現場,讓後續追查時難以鑑識、還原手法。
腳本➂|認知戰大舉攻台 「Made in China」藏炸彈、看板內容遭置換
圖/路透
2022年8月美國眾議院議長裴洛西(Nancy Pelosi)訪台,引發北京當局高度不滿,中共解放軍不僅在台海周邊進行大規模實彈軍演,我國總統府、外交部、國防部官網更接連遭中國大陸駭客癱瘓,台電證實,裴洛西訪台期間,攻擊次數高達490萬次,超過來訪前兩個月的攻擊次數總和。台灣民間單位也出現駭客攻擊,台鐵、超商螢幕看板陸續被侵入,出現謾罵裴洛西的簡體字,引發各界討論。
2022年8月裴洛西訪台期間,台鐵新左營車站電子螢幕牆遭駭客入侵,出現謾罵裴洛西的簡體字。圖/取自前議員王浩宇臉書
手法
NCC事後分析裴洛西訪台時的駭客攻擊,曾指出7-11、台鐵螢幕看板內容遭置換,是因廣告媒體廠商系統中有使用中國大陸軟體,可能被預埋後門與木馬程式;面板使用的零件「Made in China」也曾被討論恐有漏洞藏於其中。數發部長黃彥男表示,中國製設備、零件確實風險較高,因設計、出廠時就可以在原始碼預埋漏洞,駭客打起來自然更容易。
專家解析
曾怡碩表示,入侵供應鏈設備如資訊看板,是駭客「混合作戰」的一環。舉例而言,駭客若要真正發動一系列攻擊,腳本中可能包含先透過入侵交通設施的OT(運營技術)系統,癱瘓交通號誌或讓電廠停電,影響通勤與接送小孩,在人民最焦慮的時候,再置換車站看板內容,變成「戰爭開打」、「準備投降」等認知戰訊息,民心就更容易潰堤。裴洛西事件手法雖粗糙,但真正戰略意涵是對岸在試驗.「一次試一種手法,之後就能發動更大規模的網路戰」。
曾怡碩說,這也是各國為何現在都相當重視產品來源地。例如美國開始推「乾淨網路」,要求所有重要資訊流經過的廠商、機器、管線、軟硬體,甚至「人」,都要經過查核機制,五眼聯盟禁用華為手機、美國要求抖音(TikTok)與中國母公司切割,背後都是資安考量。抖音雖是商業行為,但因中國設有國家情報法,國家可以國安為由任意取得使用者資料,是各國現最擔憂的風險。
他指出,中國產能擴及全世界,要完全不使用到「Made in China」商品難度很高,且過程牽涉採購,若採購都是開最低標,成本考量下投標廠商生產過程一定會轉向對岸;中方若有心規避,也可以改到他國設廠,就難以辨識原產地。關鍵不是禁用,而是要強化、落實採購設備的資安認證機制,確保所有採購的設備或零件,都符合台灣規範的資安標準,以降低風險。
腳本➃|「亞麻颱風」鎖定台灣對外伺服器 中國菜刀成攻擊利器
圖/路透
2023年8月,微軟安全研究員發出示警,指中國國家級駭客「亞麻颱風」(Flax Typhoon)從2021年就開始陸續針對台灣政府機關、教育機構埋設漏洞,伺機發動攻擊。肆虐範圍不只台灣,美國設有重要軍事基地的關島、南海周邊國家也都是其攻擊目標,目的極有可能是為了蒐集情報、暗中監控。消息一出撼動資安界,學術組織、民間資安公司都開始著手研究亞麻颱風的攻擊手法,追查潛在漏洞。
手法
台灣學術網路危機處理中心的攻擊分析報告指出,「亞麻颱風」主要先找出各機關服務大眾的伺服器漏洞,透過「中國菜刀」(China Chopper)等惡意腳本程式感染目標伺服器,讓駭客無須身分驗證,即可登入目標電腦,繼而部署VPN(虛擬私有網路)連接到攻擊者控制的設備,最後從受感染的系統竊取資訊。由於「亞麻颱風」善於將攻擊「寄生」在Windows作業系統中的合法工具,以掩飾非法動作,一般防毒軟體難以察覺其行跡。
專家解析
「學術單位、教育機構很常是攻擊目標」。蔡一郎表示,多數大學都與政府部門有合作,例如擔任顧問或諮詢委員,或承接研究案。舉例而言,若駭客想竊取外交資訊,常會選擇繞過資安防護較嚴密的外交部,轉攻擊手上同樣握有許多機密資訊的大學及相關研究單位。據資安公司Check Point《2024年網路安全報告》,全球教育機構平均每週會遭受超過2000次攻擊。
此外,蔡一郎說,學術機構對外服務民眾的網站也相對多,更容易透過伺服器漏洞得手。以他過去在資策會的經驗,平均一天會收到500多張來自全台各大學、學術單位的資安事件通報單。台大計算機及資訊網路中心作業管理組副組長許凱平日前在資安大會演講時也提到,「台大對駭客而言有很大誘因」,歷任總統幾乎都是台大校友、保有許多重要學術資料,讓台大隨時都在面對各國及對岸的敵人。
資安公司TeamT5就曾遇過某大學教授遭社交工程(註5) 攻擊的事件。該教授某日在臉書上接到好友邀請,對方自稱是他多年前曾教授過的學生,雙方在臉書上互動、聊天長達一個月之久,待時機成熟時,對方便傳了一份聲稱是研究計畫的文件請教授協助過目,教授不疑有他,沒想到一下載後就遭入侵。事後追查發現,該帳號由中國駭客創立,對方投資時間與教授累積信任關係,讓攻擊一次見效。
腳本➄|美國前車之鑑 「伏特颱風」休眠大軍潛伏基礎設施長達5年
記者林澔一/攝影
「伏特颱風」(Volt Typhoon)不僅是今年中美交鋒的目標,其潛藏在關鍵基礎設施多年的威脅,也讓各國相當擔憂。據美國網路安全暨基礎設施安全局(CISA)、國家安全局和FBI年初發布的報告,伏特颱風在過去5年間一直保持對美國基礎設施的訪問權限,目的可能是潛伏,為未來衝突升溫時預作攻擊準備。
手法
關鍵基礎設施如電力、金融業,維繫運作的核心系統多半防護嚴密,有計畫的駭客不會一開始就直接攻擊核心系統,避免驚動單位內的資安部門,多會改從各機關、企業採購的設備,或外包開發的系統著手,潛入後再設法一步步繞進核心,最終目標取得系統控制權。
根據美國調查,「伏特颱風」主要透過入侵與關鍵基礎設施網路相連的老舊路由器,埋下「休眠大軍」,採用離地攻擊(Living Off-the-Land)(註6) ,藉由電腦內建合法工具來躲避資安偵測、不留下痕跡,目的是待台海問題升溫時伺機引發混亂,讓美方無暇顧及亞洲情勢。
專家解析
黃彥男表示,駭客透過外網侵入內網,目的通常有兩個,一是偷資料,二是潛伏。潛伏的風險極大,很多內部電腦或設備或許已被駭客從外部入侵而不自知,即便有資安措施防護,「若駭客不動聲色,只是悄悄待著、沒有異常行為,就難以偵測到它」。
但到有需要的時候,潛伏的駭客就會甦醒作戰,發動如DDoS(分散式阻斷服務)等攻擊,甚至可能取得系統控制權。黃彥男說,過去關鍵基礎設施要被駭客攻破較不易,因控制相關設備的OT(運營技術)多不連網,都鎖在高度管制的小房間,但隨時代變化,遠端控制需求、裝置都增加,監視器、門禁系統等,都可能成為入侵內網的破口,風險大增。以台灣高鐵為例,高鐵主要靠OT來控制車輛間距,但若被駭客攻擊、數據遭竄改,就可能因此導致交通事故,引發社會混亂。
腳本➅|攻擊金融機構 7家券商遭「撞庫」、用戶遭盜買香港仙股
圖/聯合報系資料照
金融產業一向是駭客的攻擊熱點,不僅可竊財、竊個資,更可擾亂社會秩序。2021年11月,台灣國內多家證券、期貨交易系統接連遭「撞庫攻擊」,造成逾百名客戶帳戶遭不明人士冒用,花費鉅額下單買進港股。證交所、期交所證實,接獲元大證券、統一證券、凱基期貨資安事件通報疑遭駭客入侵。據金管會調查,後續共計有7家證券商及期貨業者通報遭到類似資安攻擊,其中3家有客戶成功「被下單」。
手法
撞庫攻擊指駭客在網路上收集外洩的用戶名稱、電子郵件、身分證字號、生日、手機號碼等資訊,結合自動化技術和腳本,逐一嘗試登入各種網站。當使用者的帳號、密碼被駭客成功「撞出」後,駭客便能恣意登入網路服務,除了造成錢財損失之外,不法人士若冒用身分進行非法行為,後果更嚴重。
資安公司奧義智慧事後進一步追查,挖掘出此次攻擊是長期、有目的性的滲透,駭客準確利用金融機構常用的軟體系統漏洞,進行一連串部署、植入後門程式;並發現攻擊者來源IP位於香港,從手法分析,研判是中國國家級駭客APT10針對台灣金融業發起的行動。
專家解析
奧義智慧共同創辦人吳明蔚解析,金融機構往往是駭客最想入侵的目標之一,「金融秩序混亂,民眾會暴動」。但金融業通常也具備較高的資安防護水準,因此駭客大多採用供應鏈攻擊手法,先擊潰上中下游裡最脆弱的供應商,再由外向內、由下往上滲透。
以金融機構而言,吳明蔚說,金融業最核心的系統通常由銀行自行開發,較難攻擊,但中台、後台系統就可能會部分採用外部廠商的工具或平台。奧義智慧在撞庫事件發生後調查近3個月,最後在金融單位常用的軟體系統管理介面找到網路服務漏洞,攻擊者可藉漏洞取得主機控制權,繼而利用滲透工具掃描內網、植入後門程式,竊取受駭單位資料。
「資安即國安」如何落實?台灣須提升數位韌性
專長紅隊演練的資安公司DEVCORE共同創辦人徐念恩表示,近年公私部門都最須關注、也最嚴峻的就是供應鏈攻擊,要設法避免駭客從供應商提供的軟硬體找到弱點,一舉攻下多個採購單位。他建議,政府應將軟體、系統都視為關鍵基礎設施一環,盡量由內部自行開發,若仍需外部採購,則應要求合作廠商提供具高規格資安標準的證明。
DEVCORE共同創辦人徐念恩。記者林俊良/攝影
黃彥男表示,要落實「資安即國安」,法規、技術、人缺一不可。法規方面,《資通安全管理法》修正草案目前已送行政院,通過後將明定全國資安主管機關為數發部資安署,就能透過公權力來管理和要求各資安環節,例如強化各機關資安稽核強度,從抽查改為普查、加強紅隊演練攻擊強度,要求設備安全、使用來源也於法有據。
技術方面,零信任架構是目前資安圈熱議趨勢,指強化資料存取驗證機制、對所有登入者都抱持「永不信任」的相關技術。黃彥男表示,《資通安全管理法》通過後,會逐步推動公部門、關鍵基礎設施導入零信任架構,避免帳號密碼遭破解後,造成更大風險。另也將推動資料經加密後上雲端跨境備援,現雖要求機關重要資料要異地備援,且兩地相距需超過30公里,「但台灣太小」,一場天災人禍就可能同時摧毀兩地。
「人」則須從培養資安人才,以及加強全民資安意識著手。黃彥男指出,數發部預計未來兩年內在政府單位中培養超過千名資安人才,過去政府機關遇到薪資難與業界競爭困境,將透過加給、留任獎金、特殊專長加薪等機制來提升待遇,也將透過教育單位開設更多資安訓練課程,提升整體資安人才數量。
此外,需透過宣傳和教育,讓民眾意識到資安不只影響錢財,更是國安一環,不要亂點釣魚連結、定期更新軟體,全民一起保障國家安全。
徐念恩表示,駭客攻擊就像疫情,很難完全杜絕染疫風險,但台灣要設法提升「數位韌性」,韌性面向包括多快可以發現攻擊,繼而阻擋和回應,並且能快速復原受損的伺服器或遭竊取的資料,以及人人強化資安意識,「攻擊多對台灣幸也不幸,台灣需趁勢盡早鍛鍊防備能力,提高生存機率。」
延伸閱讀
最具攻擊思維的資安專家 解密白帽駭客工作日常
閱讀文章
專長紅隊演練的資安公司DEVCORE共同創辦人徐念恩表示,近年公私部門都最須關注、也最嚴峻的就是供應鏈攻擊,要設法避免駭客從供應商提供的軟硬體找到弱點,一舉攻下多個採購單位。他建議,政府應將軟體、系統都視為關鍵基礎設施一環,盡量由內部自行開發,若仍需外部採購,則應要求合作廠商提供具高規格資安標準的證明。
黃彥男表示,要落實「資安即國安」,法規、技術、人缺一不可。法規方面,《資通安全管理法》修正草案目前已送行政院,通過後將明定全國資安主管機關為數發部資安署,就能透過公權力來管理和要求各資安環節,例如強化各機關資安稽核強度,從抽查改為普查、加強紅隊演練攻擊強度,要求設備安全、使用來源也於法有據。
技術方面,零信任架構是目前資安圈熱議趨勢,指強化資料存取驗證機制、對所有登入者都抱持「永不信任」的相關技術。黃彥男表示,《資通安全管理法》通過後,會逐步推動公部門、關鍵基礎設施導入零信任架構,避免帳號密碼遭破解後,造成更大風險。另也將推動資料經加密後上雲端跨境備援,現雖要求機關重要資料要異地備援,且兩地相距需超過30公里,「但台灣太小」,一場天災人禍就可能同時摧毀兩地。
「人」則須從培養資安人才,以及加強全民資安意識著手。黃彥男指出,數發部預計未來兩年內在政府單位中培養超過千名資安人才,過去政府機關遇到薪資難與業界競爭困境,將透過加給、留任獎金、特殊專長加薪等機制來提升待遇,也將透過教育單位開設更多資安訓練課程,提升整體資安人才數量。
此外,需透過宣傳和教育,讓民眾意識到資安不只影響錢財,更是國安一環,不要亂點釣魚連結、定期更新軟體,全民一起保障國家安全。
徐念恩表示,駭客攻擊就像疫情,很難完全杜絕染疫風險,但台灣要設法提升「數位韌性」,韌性面向包括多快可以發現攻擊,繼而阻擋和回應,並且能快速復原受損的伺服器或遭竊取的資料,以及人人強化資安意識,「攻擊多對台灣幸也不幸,台灣需趁勢盡早鍛鍊防備能力,提高生存機率。」
延伸閱讀
最具攻擊思維的資安專家 解密白帽駭客工作日常
閱讀文章
統籌製作、採訪 / 洪欣慈、林雨荷
視覺設計 / 陳志儒
插畫 / 阿鄉、陳志儒
工程 / 于以琳、周融聖
影像 / 林澔一、林俊良、邱德祥、美聯社、路透、Getty Images、報系資料照
監製 / 蕭衡倩、林秀姿、董谷音、潘如瑩
製作單位 / 聯合報新聞部
2024.06.24