考量到地緣政治的風險,各國資安公司早已點出台灣關鍵基礎設施所面臨的巨大威脅。曾在美國國家安全局(NSA)任職的Fortinet公司全球資安長Phillip Quade,在2019年來台時就示警,以製造業為主的台灣,生產線上配備了許多工業控制系統與設備(ICS),一旦與IT網路相連,很容易身陷網路攻擊威脅。
而在網路衝突中,駭客針對關鍵基礎設施中的工業控制系統發動攻擊,進而達到控制、癱瘓與毀滅的效果,也早就是現代化戰爭中的重要手段。
2009年美國與以色列合作開發出名為"震網"(Stuxnet)的電腦蠕蟲(Computer Worm),透過網路攻擊來摧毀伊朗生產濃縮鈾以發展核武的離心機,創下全球第一起網路攻擊關鍵基礎設施的紀錄。2015年,由俄羅斯在背後撐腰的駭客組織"沙蟲"(Sandworm),以更加精密的手法襲擊了烏克蘭電力系統,導致25萬人在寒冷的聖誕夜前夕無電可用。
種種跡象都顯示,過去以軍事設施為打擊對象,能精確控制損害範圍的戰爭,在網路戰時代,已經升級成一種不分軍民,專注於破壞社會運作的無差別攻擊。
資安公司Fortinet在今年針對包括台灣在內的全球570名製造、能源、醫療、運輸等關鍵設施產業人員進行調查後,得出一個驚人結論:全球75%的單位在過去12個月內都曾遭駭客入侵至少一次。
演習之後的現實:醫院與軍方醫療機構仍頻遭網攻
衛福部轄下的桃園醫院於2020年傳出遭到駭客入侵,電腦被植入惡意程式、造成個資外泄。(攝影/陳曉威)
從2017年至今,針對駭客入侵的演習仍持續進行。但在頻繁的攻勢下,我國關鍵基礎設施的資安防護狀況仍然令人憂心。
2019年,台灣的醫療領域就曾遭逢大規模網路攻勢。
2019年8月28日晚間起,電腦病毒陸續襲擊了全台22間醫院。在一片夾雜著白色數字的黑色畫面中,"你的文件被加密了"的警語覆蓋了電腦畫面。畫面下方緊接著是簡體字寫成的勒索通知信:
"不要相信任何人,除了[email protected]。殺毒軟體將會刪除這個文檔,那麼您將無法聯繫到我們。發送文件到郵箱,我們將會給出解密所有文件的價格。"
衛福部當時雖發布新聞強調未影響醫療業務運作,亦未發現個資外泄情事,但問題並沒有那麼單純。台灣學術網路危機處理中心(TACERT)在同年年底發布報告指出,此次事件中的勒索病毒為GlobeImposter,比一般勒索病毒更有針對性。駭客將中毒電腦作為跳板,讓病毒竄入衛福部電子病歷交換系統(EEC)專屬的VPN網路,隨後開始急速擴散,影響所及包括病患資料、員工名冊帳冊、醫療數位影像,斷層掃描病歷等。這份報告並強調:"由該事件可發現許多現有醫院存在資安問題。"
衛福部轄下的桃園醫院也傳出2020年遭到入侵,電腦被植入惡意程式、個資外泄。一位過去幾年捕手醫院資安事件調查的資安主管Sam(化名)向《報導者》透露,台灣不少醫院因為分院多而建置很多網站,因此遭受攻擊的"表面積"大;再者,多數醫院網站建置的時間已非常久遠,更新維護意願低,從COVID-19疫情開始後,駭客攻擊的數量比以往更高。
在多次調查醫療領域資安事件後,Sam發現台灣醫療體系中,軍方機構和退伍軍人相關醫院已是近幾年網路攻擊的熱點,且攻擊手法頗具創意。Sam告訴我們,他觀察到攻擊者會鎖定合法的虛擬私人網路軟體(VPN),將公開版本修改成有植入惡意程式或後門的駭客版本後,散布給目標用戶下載。一但下載成功,駭客版本的VPN就會將連線導回攻擊者處,並且將資料傳輸偽裝成常見的模式,讓駭客們得以一邊潛伏竊取機敏情資,同時又能躲避防毒軟體的偵測。
就在處理某醫療財團法人遭入侵時,Sam更發覺,該機構從2021年9月就被駭客植入後門,分析使用手法和工具後,可以推斷出入侵源頭應是與中國關係密切的駭客組織"APT41"(Advanced Persistent Threat41)。
"邪惡熊貓"與他的30組中國夥伴
2020年9月16日,美國華盛頓特區代理檢察官舍溫(Michael R. Sherwin)在記者會上說明5名中國公民對美國100多家公司駭客攻擊,並指稱這些人是名為"APT41"的駭客組織成員。(Tasos Katopodis/Pool via AP)
"APT41",這個又名"Wicked Panda(邪惡熊貓)"、"Winnti"、"BARIUM"的組織,不但成員在2020年被美國司法部正式起訴,更是少數被美國政府點名、認為背後有中國共產黨支持的駭客團體。
根據美國司法部發布的新聞顯示,"APT41"遭到起訴的成員蔣立志、錢川、付強等,皆在中國四川省成立的"成都肆零肆網路公司"擔任幹部。而"成都肆零肆"除了開發駭客工具及精密的惡意程式外,更針對全球政府機關、通訊及科技業、學術研究機構、醫療機構及電玩遊戲產業等超過100家企業發動網路攻擊及間諜活動。其中一位遭起訴的"APT41"成員譚戴林,更被《紐約時報》(The New York Times)揭露在2006年成功入侵美國國防部五角大樓網絡,並將大量文件發送回中國。
為多國企業、政府部門與軍方提供網路威脅情資,並且追蹤各國駭客組織的TeamT5(杜浦數位安全公司),在過去幾年長期追獵"APT41"的行蹤。
TeamT5執行長蔡松廷向《報導者》指出,"APT41"這群經常鎖定台灣的中國駭客,早期是針對博弈產業與通訊、科技業進行攻擊,近幾年範圍則擴張到學術機構、醫療機構、化學、航太、能源、媒體和各國政府機關,包括台灣、新加坡、馬來西亞、日本、韓國、美國、印度和澳洲都是其鎖定的國家。
中國解放軍在2015年12月31日成立與陸海空軍平行的"戰略支援部隊"網路軍力後,近年更不斷強化網路作戰力量。對此,蔡松廷強調,"APT41"擁有非常龐大的惡意程式火藥庫,因此推斷是在中國國家安全部(MSS)整合了各種資源、攻擊技術和工具後,讓"APT41"及相關的駭客團體規模更大、火力更強。據估計,包括"APT41"在內,來自中國的活躍駭客組織有30個之多。
中油、台塑接連遭駭,威脅分析師:軍事等級的潛伏攻擊
2020年5月4日中午,全台中油加油站的交易系統及相關支付方式停擺,隔天石油供應商之一的台塑也傳出系統異常。調查局與美方在同年9月完成調查,推斷攻擊者就是背後由中國政府支持、惡名昭彰的駭客組織"APT41"。圖為位於台北市信義區的中油總部大樓。
