资料来源:国安局,iThome重制图表,2025年1月
随著2025年到来,1月初台湾又遭受大规模DDoS攻击,让国人再度意识到资安威胁的不断发生,尽管此次服务阻断攻击仅短暂影响网站系统运作,但更值得我们关注的是:当前网路威胁的多样化。
例如:有如小偷般的非组织型入侵者,有以宣扬理念为目的的游击型骇客主义者,还有经济利益导向有如黑帮的组织型骇客团体。而最为严峻的威胁,则来自以政治目的为驱动,带有敌意的国家级骇客组织,因为有国家资源支持且其行动具组织性与策略性,不只窃取高价值情报与商业机密,以获取竞争优势,同时也聚焦长期潜伏以在必要时,能瘫痪他国关键基础设施运作。
国家级骇客发动的网路间谍攻击,长期以来是全球资安关注的核心议题。虽然部分事件偶尔登上国际新闻版面,但若缺乏持续关注,大众可能无法掌握这类威胁的新变化。事实上,资安界与国家网路安全单位经常发布研究报告,目的在于揭露攻击手法与趋势,让威胁更加透明化,帮助业界与大众认识这类网路犯罪,并更清楚地了解威胁现状。
例如,2024年底,美国至少有多达8家当地电信业者遭到中国骇客的入侵,此事再度警示国家级间谍攻击的高度渗透力与多样化手段。
2025年1月,台湾国安局发布中共网骇手法分析报告,指出中共网军这一年来锁定的目标中,情况最严峻的是电信业为主的通讯传播领域,较前一年度大增650%,交通、国防供应链也成重灾区,较前一年度分别增加70%与50%。
接下来,我们将深入探讨这些年来网路间谍攻击的重大变化,协助大家能够进一步了解当前威胁态势。
「国家资助骇客组织」一词的涵盖范围日趋复杂
基本上,这些受国家资助的骇客组织(State-Sponsored actor),一般也称国家级骇客组织(Nation-State actors)。
过去资安界看待这类威胁时,通常都归类在APT组织,因为他们经常使用进阶持续性威胁(Advanced Persistent Threat,APT)的手法,能够长时间隐匿其入侵踪迹,不过随著时局的演变,这些意涵都有一些小小的变化。
例如,10年前发现的APT组织,有不少都是直接受国家指挥。
在2013年,美国资安公司Mandiant揭发APT1组织,并查出其背后身分是来自解放军总参谋部三部二局61398部队;芬兰资安业者F-Secure在2015年揭发一项已潜伏7年的俄罗斯网路间谍活动,该骇客组织最初由FireEye命名为APT29,经多家资安公司分析后,确认其隶属于俄罗斯对外情报局(SVR),并与旗下的GTsST军事单位74455 有密切关联。后续英国国家网路安全局与美国CISA的报告,也进一步证实相关的发现。
之后这些所谓的国家级骇客,包括「政府资助的半独立团体」。主要原因是,随著这些国家对网路攻击能力需求的增长,开始资助或支持一些非军事背景的骇客团体或技术专家。
到了最近几年,这些国家级骇客也涵盖「国家支持的民间企业与承包商」,因为这些组织名义上虽然是商业公司,但实际上也在进行政府指派的网路攻击任务。虽然过往这些处于极权国家的幕后资讯,其实并不容易被外界发现,但陆续都有发现相关线索。特别是2024年初,中国资安业者安洵(i-Soon)内部文件外泄,当中浮出台面的各种资料,也具体展现这种合作现象。
在安洵外泄的文件中,不仅使中国当局网路间谍活动曝光,也让安洵本身是成都404网络技术公司的分包商曝光,并显现出承包中国政府网路间谍业务的业者,彼此有激烈竞争。还有成都404等公司被发现共同参与一些大型专案,通常是由中国公安部或国安单位主导。
整体而言,这些都可说是受到国家支持的骇客组织,简称国家级骇客。
另一方面,以APT组织的称呼而言,尽管资安界仍然会使用这样的术语来形容骇客组织,但要注意的是,早年主要是国家级骇客使用APT手段来攻击,但现在并不一定,例如随著有利可图的勒索软体攻击兴起,这些组织也会以APT攻击方式入侵。
换言之,这些国家级骇客都可说是APT组织,但现在所谓的APT组织,可能不全然泛指国家级骇客。
国家级骇客的网路间谍持续演进,攻击方式更刁钻
近年来,国家级骇客的网路间谍攻击(Cyber Espionage)的威胁与危害,是越来越严峻,而且传播间谍软体方式的转变,影响层面也加深。
简单来说,现在的国家级骇客在发动进阶持续性威胁时,不只是传统直接攻击企业本身,如今还会以间接的方式,借由供应链攻击,或是借由挖掘边缘装置零时差漏洞,甚至是往最上游的开源软体下手植入恶意程式,因为这类攻击能一次入侵多家企业组织,若只针对特定目标,也让受害组织难以防范。以下我们举出几个近年特别受瞩目的事件。
手法一:借由供应链攻击方式潜伏
以供应链攻击而言,这种攻击是以软体开发人员和供应商为目标媒介,而真正网路间谍行动的对象是其企业用户。
2020年底爆发的SolarWinds事件,就是极其严重的网路间谍活动,造成美国及欧洲数百个政府与商业机构受害,震撼全球。
这起事件,最初仅是资安业者FireEye表明遭骇,揭露自家公司内部的红队测试工具外泄,但数日后,他们发现原因是IT监控软体公司SolarWinds遭骇。
随后,多家使用SolarWinds系统的企业组织纷纷开始盘查,于是更多受害者浮上台面,包括美国政府单位、微软等多家业者,都揭露自己同样遭攻击。
后续调查结果更显示出,SolarWinds IT监控平台Orion的更新机制遭骇,特定Orion版本遭植入Sunburst木马程式,据SolarWinds估计,在3.3万家Orion客户中,就有1.8万家安装含有后门程式Sunburst的Orion,显示出这类网路间谍攻击的严重性。而且,后续还找到不同骇客也入侵SolarWinds的事证,因为发现另一个Supernova木马程式。
这起供应链攻击背后的攻击者是谁?随著长时间的广泛调查,根据其攻击手法与工具,Sunburst木马程式被认为是俄罗斯政府支持APT29有关;另一个Supernova木马程式的植入,则被认为与中国骇客组织Spiral有关。
2021年4月,美国政府正式指控俄罗斯对外情报局(SVR)是主使者,而在资安领域当中,该机构亦被称为APT 29、Cozy Bear及The Dukes。
这1年多来,还有多起重大网路间谍攻击事件。例如,2024年1月,微软内部邮件系统遭入侵,被发现是俄罗斯骇客组织Midnight Blizzard渗透,并造成多个美国政府机关组织资讯外泄情形。
手法二:锁定边缘装置零时差漏洞
以零时差漏洞利用攻击来入侵,亦是国家级骇客近年持续青睐的攻击管道。
例如,2024年1月,资安业者Ivanti公布两个已遭利用的零时差漏洞,当时通报此事的资安业者Volexity表示,这是名为UTA0178的骇客组织所为,而且,他们是为中国政府服务的组织。
同时指出全球有超过1,700个Ivanti的VPN装置,有遭入侵的迹象,受害者遍布全球,全球政府及军事部门、国家电信业者、国防承包商、科技业者、金融业者、全球顾问及航太业者等。
接下来一个月内,Ivanti持续公布多个零时差漏洞利用的状况,并发现有多组骇客加入利用漏洞攻击的行列。
4个月后,另一家Google旗下资安业者Mandiant指出,确认有8组人马锁定Ivanti Connect Secure漏洞攻击,其中5组来自中国。相关的受害者也陆续浮上台面,例如:美国资安研究机构MITRE证实因Ivanti攻击事件受害,导致他们用于资安研究、开发和原型设计的协作网路环境(NERVE)遭入侵,而且,MITRE也揭露当时骇客利用复杂的后门程式及Web Shell,持续存取机构内部的网路环境。
如今这类威胁态势更趋严峻,因为近年被锁定的IT供应商是越来越多,而且中国骇客利用这种手段的情形大增。
根据Google在2024年3月公布的零时差漏洞利用年度报告,更多企业的供应商与产品成为攻击目标,从2019年的4个供应商被锁定,之后更是逐年增加,到了2023年,多达21个供应商被锁定。
而且,如今攻击者正大肆锁定各种类型的边缘装置,包括邮件、档案分享、远端存取、行动存取与虚拟装置。
另一备受关注的现象是,由中国政府支持骇客组织发动的零时差漏洞攻击大增。因为2023年的21个零时差漏洞攻击,就有12个是中国骇客组织发动,渐渐超过其他国家骇客组织。
上述情形,也呼应到Google Mandiant先前的观察:随著中国于2021年实施《网路产品安全漏洞管理规定》,要求任何人发现或得知网路产品安全漏洞,皆须通报中国工业和信息化部,不得自行公布。
此举当时已让资安界质疑,中国这样的漏洞揭露政策,可能助长中国暗藏零时差漏洞,做为日后发动网路攻击之用。随著中国骇客的零时差漏洞攻击越来越多,许多资安业者追踪事故后,也都有同样的判断,最近又有一例。
2024年10月底,资安业者Sophos揭露历时5年调查的「Pacific Rim」行动,调查人员发现骇客在四川地区从事相关的漏洞研究利用及开发,并将结果提供给中国政府支持的骇客团体使用,像是APT41、APT31和Volt Typhoon等。
另一方面,我们也要提醒企业组织,应当注意已知漏洞的修补问题。基本上,现在许多厂商都已重视漏洞修补,就是为了避免骇客先找出漏洞并利用,同样地,企业组织也需关心这些安全更新的发布,并且尽速因应。
这是因为,这方面的攻击实例其实更多。不少国家级骇客经常锁定这些已知漏洞,针对未修补的企业组织的企业来入侵,甚至在漏洞刚修补之际,骇客就想利用修补时间差来先一步渗透。
当已知漏洞企业没有修补,这在实体世界中会是甚么模样?如同一扇门旁边出现小洞,没有挡起来,对于有心人士而言,只要设法将手伸进门缝,就能随时从内部开门、潜入。
由于中国骇客网路攻击边缘网路装置情形大增,这又引来另一问题:中国网路设备业者的产品风险可能增加。因为这些中国业者将产品销售给全球,若是不像国际业者有意愿修补产品漏洞,或是在关键时刻受到中国政府施压,让其产品可以成为入侵管道。这也就是国际间持续在讨论的问题,像是美国政府近年提倡干净网路,此项广泛涵盖多个领域的计划,也是在国家级骇客网路攻击越来越严峻之下,才开始推动。
手法三:从开源软体生态系布局
国家级骇客为了发展网路间谍行动,无所不用其极,破坏开源软体生态也在所不惜。2024年3月底,XZ Utils程式库被揭露植入隐密后门,引发资安界广泛关注。因为后续调查显示,攻击者从3年前开始积极参与XZ项目的维护工作,以取得原始开发人员的信任。
在获得信任后,攻击者的手法同样相当隐密且难以察觉,会透过两个包含恶意双位元程式码的测试压缩档的结合,在特定条件下解析出恶意程式,而从其建立的后门功能来看,将让攻击者可绕过SSHD身分验证,并获得未经授权的远端存取权限。
资安专家普遍认为,这种精心策画的攻击行动极有可能由国家级骇客组织发起。不过,由于相关开发人员及早察觉到异常,并深入调查将此事公开,使得威胁并未扩散,只是,未能有资安业者与研究人员指认攻击者的身分。
揪出更多网路间谍活动,需要跨国情资联防因应
整体而言,这些网路间谍行动由于后续被公开揭露,使得外界可以更清楚了解其手法与影响。
若进一步能连结、指认背后的攻击者身分,或将其逐一归类,对资安界同样重要。主要目的在于,不同国家级骇客组织具有独特的攻击手法、使用的工具与目标产业,透过这样的归类,可以识别其TTP与攻击模式,了解动机与主要目标,以制定针对性防御策略,并分享威胁情报,协助资安风险的评估,以及早期预警的发布。
同样地,对于普遍企业与政府而言,防守方不仅需要整合威胁情报,并采用主动式监控与快速回应的策略,同时也更需要跨国合作与情报分享的联防,才能减少网路间谍攻击的冲击。
试想,若是这些网路间谍行动越晚被发现,受害的范围与程度也将更为扩大,导致越新的商业价值资料与情报被窃取,甚至在关键时局发作,将带来更大冲击。
随著新一年度2025年的来临,近期最受关注的国家级骇客威胁,当属美国8家电信业遭中国骇客Salt Typhoon入侵,因此,接下来,我们邀请国内2家资安业者,包括趋势科技与TeamT5,与他们的专家一同继续探讨最新情形与演变。(请见:<美国多家电信业遭骇成2024最大网路间谍事故>、<多国纷纷颁布电信业资安强化指引>)
2024国家级骇客攻击全球各国,台湾名列五大重灾区之一
面对国家级骇客攻击,有那些国家要特别注意?关于这方面的态势,我们发现微软在三个月前(2024年10月底)发布的2024数位防御报告,公布了多项威胁态势,当中就有一项是针对国家资助骇客组织(State-Sponsored)威胁的揭露,并指出这一年来,全球区域最常被锁定攻击的国家。
值得注意的是,在东南亚与太平洋地区,台湾持续是最受国家级骇客锁定攻击的目标,其次为南韩、印度。进一步从全球不同地区来看,在美洲地区,遭受国家级骇客威胁最大的是美国;在中东与北非地区,是以色列、阿拉伯联合大公国遭受威胁最大;在欧洲与中亚地区,以乌克兰、英国遭受威胁最大。图片来源/微软
对应政府网路间谍活动需求,商业掮客出现
在网路间谍攻击中,有一种类型是锁定消费端产品而来,例如:挖掘出浏览器与智慧型手机的零时差漏洞并利用,但这不一定是国家级骇客所为,也有商业间谍骇客贩售这类工具,提供政府组织使用,并经常锁定政治、非营利组织(NGO),以及媒体等特定人士。
例如,加拿大公民实验室(Citizen Lab)在2020年揭露,有骇客利用iPhone的零时差漏洞,针对卡达半岛电视台36名员工的iPhone植入Pegasus间谍程式,此间谍程式其实是以色列间谍软体开发商NSO Group所打造,并且专门销售给政府组织来使用。
此外,2023年9月苹果公布的漏洞修补,加拿大公民实验室与Google TAG小组指出,对此发动攻击的人,是商业间谍骇客公司Cytrox/Intellexa与其客户。
极权国家网路间谍目标广,涵盖少数族群监控
国家级骇客的间谍软体攻击目标虽以外国为主,也常被用于国内监控人民。例如,2019年,Google 威胁分析小组揭露某间谍软体攻击活动已持续两年,透过多个被骇网站攻击iPhone用户,共发现利用14个iOS漏洞(含7个Safari漏洞);隔年资安业者Volexity指出,中国支持的Evil Eye骇客组织透过类似方式,攻击6个网站与滥用iOS漏洞,来感染浏览网站的使用者,目的是监控维吾尔族电子邮件与即时通讯内容。
这些年,持续有这方面的研究报告公开,最近2024年12月又有2起。趋势科技揭露,Earth Minotaur骇客组织攻击维吾尔族与图博人士,主要是针对Android、Windows而来,部署DarkNimbus后门程式;资安业者Lockout揭露,发现新的安卓间谍软体EagleMsgSpy,追查后发现背后是中国公司武汉中软通证所开发,并由公安部使用。