事實上,除了入侵台灣醫療體系,這幾年"APT41"也開始針對其他台灣關鍵基礎設施進行攻擊,並涉及中油、台塑兩家能源公司遭駭的重大資安攻擊案件。
2020年5月4日中午,全台中油加油站的交易系統突然無法使用,會員卡、捷利卡、中油PAY等與系統連結的支付方式一併停擺,加油站員工告知顧客只有現金和信用卡能用,也有站點直接貼出暫停服務的告示,影響遍及1,500多個加油站。中油公司其後發布新聞稿,證實資料庫和部分電腦主機遭勒索軟體感染。
就在中油事件的隔天,5月5日上午11時,台灣兩大石油供應商之一的台塑也傳出系統異常。台塑資訊單位通報員工暫停使用網路與發送信件,啟動檢修作業後,確認電腦遭到入侵。
由於這兩起案件並非只是為了索取贖金的單純商業勒索,而是明確針對關鍵基礎設施而來,因此被列為台灣少見的三級資安事件,不但轉由調查局捕手,其後更與美方聯手偵辦。
歷經數個月的台美聯手調查,調查局與美方在同年9月還原了事件成因。時任調查局資安工作站副主任劉家榮指出,這幾起攻擊,駭客先是利用員工電腦、網頁和資料庫伺服器等途徑,進入公司內部系統進行潛伏及刺探,伺機竊取高權限帳號後,再利用連接多處電腦的網域伺服器將勒索病毒派發到全公司的電腦中。最後,駭客們修改工作排程,讓勒索病毒在員工電腦里自動執行,設定發作時間,就像在電腦里裝了幾顆定時炸彈,時間一到就爆炸,引發系統停擺。
調查局隨後更在台灣資安大會上指出,早在2016年4月,中油電腦就被執行了惡意程式,台塑電腦也在2019年9月遭遇入侵。種種跡象顯示,針對這兩家關鍵基礎設施的行動,是瞄準目標、長時間潛伏、經過充分模擬與測試的APT進階持續性滲透攻擊,而根據使用工具和中繼站等相關資訊,台美雙方推斷攻擊者就是惡名昭彰的"APT41"。
一位資安威脅分析師如此描述這波針對中油、台塑的攻擊:"這是軍事等級的行動,想像一下狙擊手要潛伏多久,才會開出第一槍。"
警政署:重點是駭客潛伏,大多數機關根本不知道自己遭入侵
近年台灣發現大量對於關鍵基礎設施的潛伏攻擊,不願具名的政府資安官員向《報導者》證實,從醫療機構、水資源設施、電信公司到軍校等相關單位都有中國駭客潛伏的影子(圖為情境示意)。(攝影/陳曉威)
美國網路資安與基礎架構安全局(CISA)整理出駭客採用的5D手段,分別是中斷(Disrupt)、癱瘓(Disable)、阻絕(Deny)、欺騙(Deceive)及摧毀(Destroy)。值得慶幸的是,台灣關鍵基礎設施尚未面臨最具破壞力的"摧毀"攻擊。
但這並不代表台灣已然倖免於難。警政署資訊室主任林建隆接受《報導者》訪問時強調,現在遭遇最大的問題是駭客潛伏:"潛伏時間拉長,大部分機關根本不知道自己遭到網路攻擊。"
林建隆曾偵破多起國內外駭客入侵案件,過去也曾在刑事局科技犯罪防制中心與科技研發科服務,近年開始發現大量對於台灣關鍵基礎設施的潛伏攻擊。因為事涉機密,林建隆不願意透露是哪些單位遭到網路攻擊,但他以一起已經曝光的事件進行說明。
2020年5月,一封來自"[email protected]"的電子郵件被同時寄給多位立委的服務處,信件內容附上一則連結,要求立委們填寫表格並回傳,下方並有總統府的署名。
如果沒有細看,很難發現寄件人的電子郵件地址與真正的總統府信箱([email protected])僅有一字之差,這是"釣魚郵件"的常用手法。
由於駭客冒充總統府名義,刑事局很快捕手調查。作為當時的負責人之一,林建隆從釣魚網站連結、夾藏的惡意程式樣本、釣魚網站的IP與網域等方向著手,很快推斷攻擊者是"國家支持的組織駭客":"為什麼敢這樣說,因為證據顯示案發半年前,他們也對西藏做了一樣的事情,會有哪一個國家同時對(攻擊)台灣跟西藏有興趣?大概就是中國而已。"
此外林建隆也觀察到,中國支持的駭客組織,近年來喜歡鎖定網路通訊設備的漏洞來進行攻擊,而不是直接攻擊電腦設備,以藉此避開防護偵測,讓整體攻擊手段變得更加細膩與隱匿。
另一位不願具名的內政部資安主管King(化名),則與林建隆一樣向《報導者》證實了這些隱匿的潛伏攻擊:"以我處理過的案例,電信公司、金融單位、水資源處理設施和軍校,這些單位都有駭客潛伏的例子。"
King認為,這些已有駭客入侵的關鍵基礎設施中,以水資源處理設施最值得擔心。當駭客透過釣魚郵件成功入侵主機系統,就能夠控制調整流量與添加物的設備,"台灣的水源生產和處理能力就會遭到癱瘓,"他說。
這位資安主管更特別提及軍事學校中的駭客潛伏。他向我們解釋,駭客躲在軍校系統里搜集資料,"就是為了知道哪些人以後有可能當將官,"以事先掌握這些未來將官的重要個資;未來兩岸若發生衝突,對岸就會根據我方將官的資料"擒賊先擒王"。而這些網路潛伏都是以年為單位,我方很難知道攻擊者已經做到什麼地步、搜集到多少資料。
台灣第一份"關鍵基礎設施網路曝險報告"的示警
睿控網安公司資安威脅研究團隊經理鄭仲倫,撰寫台灣第一份"關鍵基礎設施網路曝險報告",點出30萬筆個資外泄正為關鍵基礎設施的資安環境帶來極大風險。(攝影/陳曉威)
為了證實目前所面臨的威脅,《報導者》也取得台灣第一份"關鍵基礎設施網路曝險報告"──這份由睿控網安公司的資安威脅研究團隊經理鄭仲倫撰寫的報告,從各種管道搜集了台灣關鍵基礎設施外泄的30萬筆個資,內容包括市值排行前百名的企業,以及電力、石油、天然氣、水資源產業、醫學中心、運輸業、金融業和中央政府部門等。研究者希望了解這些個資會不會和烏克蘭停電事件一樣,成為民生社會癱瘓的原爆點。
鄭仲倫受訪時,提到報告中的兩大關鍵:
台灣關鍵基礎設施的大部分泄露個資,都是因為使用"弱密碼"──大約有10%的密碼可成功對應到前100,000個密碼字典。這代表掌握國家社會運作的基礎設備密碼,有極大機率被駭客暴力破解。
按照台灣政府的分類,外泄個資比例中,最高為"通訊傳播類"基礎設施,比例高達23.16%;其次為緊急救援與醫院(15.95%);第三名為政府機關(10.86%);第四名是能源產業(8.98%),第五名則是科學園區與工業區(8.41%)
大量外泄的個資,對照數位發展部在2022年6月發表的公務機關資安稽核結果,包括中央銀行、交通部、行政院原子能委員會等十多個機關的平均資安分數,都只落在60至70分的及格線上,種種跡象都顯示我國關鍵基礎設施的脆弱。
鄭仲倫因此強調,要因應對於關鍵基礎設施的攻擊,最重要還是回到"人"本身,也就是"關鍵基礎設施相關人員的資安意識是否充足、應當如何提升"這兩大關鍵。他直白指出,"台灣(資安防護)現況雖然有進步,但仍亟需提升。"
從攻擊反制中窺見台灣的不足
台灣今年度的萬安演習,納入桃園煉油廠等基礎設施實體防衛演練。圖為演習預演時,桃園煉油廠內對油庫進行消防演練。(攝影/鄭宇辰)
2018年6月,台灣第一部《資通安全管理法》三讀通過,相關單位也持續進行針對關鍵基礎設施的兵推演習。一位不願具名的資通電軍軍官接受《報導者》訪問時透露,政府早已為了反制網路攻擊做準備,例如我方近年曾針對中國關鍵基礎設施進行調查,並列出三項癱瘓目標:化工製程、智慧自動化製造、電力設施。
但這位軍官也坦承,"目前為止我方反制網路攻擊的效果並不好,因為相對台灣,中國早就花費數十、數百倍的人力和資源在滲透我國關鍵基礎設施,中國甚至會花費資源訓練相關科系的大學生來專門尋找零時差漏洞(Zero-Day Vulnerability)"。(註:零時差漏洞或零日漏洞,是指軟體、韌體或硬體設計當中未被揭開,或已被公開揭露但廠商卻仍未修補的缺失、弱點或錯誤。這樣漏洞的發現將為駭客提供極高的利用價值,可被開發成強大的網路武器。從國家間諜到網軍部隊,都非常重視這些資訊。)
重新回顧2017年的演習,站在網路戰最前緣的這位資通電軍軍官,更認為當初總統為資通電軍設立"保護關鍵基礎設施"的目標,並沒有全然實現。他指出,不但各個關鍵基礎設施所屬單位的資安防護狀況有不小落差,就連資通電軍以及負責研發的中科院本身,也因誘因不足而陷入人才招聘困難:"人力銀行的頁面上,資通電軍所開設的7個職位還依舊懸缺,就可看出現階段資安防護的困境。"
今年度的漢光演習,首度將台北車站、桃園煉油廠、永安液化天然氣廠、金門大橋和桃園機場等關鍵基礎設施的實體防護納入項目之一,卻未見關於網路攻擊的防護措施。
5月,涉及22項法案的"強化關鍵基礎設施保護法案"在立法院三讀通過,但民間國安智庫隨即點出其中不足,包括保護項目涵蓋不足、威脅態樣太過狹窄、缺乏事前保護手段,以及沒有規劃任何預警、調查和追訴的配套措施。
應對網路攻勢,失一分就是輸
儘管現行法規已經定義關鍵基礎設施範圍,並將相關的民間企業與單位納入,律定政府與民間各自應履行的資安責任,但數發部資通安全署在書面回復《報導者》提問時仍指出:"駭客利用已知設備漏洞、駭客工具及系統弱點攻擊比例仍有偏高情形,因此我國關鍵基礎設施內相關的系統、維護人員及設備供應商,從資安意識到防護措施仍有待持續強化。"
網路戰跟運動比賽不同,不是得分多的贏,而是失一分就是輸。"無論守住多少次,只要有一次沒守住,關鍵基礎設施就可能被癱瘓,重要資料就會被偷走!"Team T5公司執行長蔡松廷強調:"活躍的中國駭客組織,正磨刀霍霍隨時準備發動攻勢,它是每天在看著我們,面對這樣的敵人,我們只能一直做下去(資安防護),一天都沒辦法鬆懈。"
