隨著全球網絡空間的高度連結,網絡攻擊的威脅日益嚴重,尤其是進階持續性威脅(advanced persistent threat, APT)級別的攻擊,對國家安全和社會安定產生極大的衝擊。
圖片來源:達志影像/美聯社
(一)APT攻擊案例與現況
這個月(2024年9月)年5月數位發展部資安署發出已啟動聯防體系應變聲明,主因親俄羅斯的駭客組織「NoName057」(詳見下表1),接連使用分散式阻斷服務攻擊(Distributed Denial of Service, DDoS)台灣政府、證交所銀行等網站;主因,其不滿總統賴清德近日對於中俄領土爭議的發言。
此駭客組織採取有組織性、計劃性和目標導向,且大規模的攻擊,屬進階持續性威脅(advanced persistent threat, APT)級別的攻擊類型,更反映出APT級駭客組織企圖影響地緣政治的平衡關係。
表 1 親俄羅斯駭客組織NoName057基本資料
項目 | 內容 |
組織名稱 | NoName057 |
成立時間 | 2022年3月 |
立場 | 親俄羅斯駭客組織 |
活動目標 | 烏克蘭、美國、歐洲、台灣的政府機構、媒體及私人公司 |
組織性質 | 非正式且自由的親俄羅斯行動者團體,目的是吸引西方國家的注意 |
首次攻擊 | 2022年3月,聲稱對烏克蘭新聞媒體網站 Zaxid 和 Fakty UA 等進行了DDoS攻擊 |
動機 | 攻擊反俄的國家(或機構),使其噤聲 |
工具 | 開發了名為 DDOSIA 的DDoS工具,使用反覆向目標網站發送網絡請求執行DDoS攻擊 |
社交平台活動 | 使用 Telegram 頻道聲稱攻擊責任、嘲弄目標、發布威脅及分享教育內容,也曾利用 GitHub 託管其DDoS工具網站及資源庫 |
合作夥伴 | 與其他親俄羅斯的網絡集體合作,如 Killnet 和 XakNet |
威脅行為 | 向烏克蘭媒體員工發出威脅信,這一點已被烏克蘭前監察員 Lyudmila Denisova 證實 |
敵人 | 主要敵人是西班牙駭客 Duna,因其多次揭露該組織的行動,並據稱與俄羅斯聯邦安全局 (FSB) 合作,至少四次企圖謀殺 Duna |
宣言發表日期 | 2022年11月3日 |
宣言內容 | 宣言表明該組織反對烏克蘭及其支持者,計劃對烏克蘭的網絡資源進行大規模攻擊 |
語錄 | 「誰來犯我,必亡於我劍下!」——亞歷山大·涅夫斯基 |
其實,今(2024)年5月美國強烈譴責俄羅斯總參謀部情報局(GRU)(稱APT28或稱Fancy Bear、Strontium和 Forest Blizzard)網攻德國、捷克、立陶宛、波蘭、斯洛伐克和瑞典等國,是公然無視聯合國《網絡空間國家責任行為框架》(U.N. Framework of Responsible. State Behavior in Cyberspace)。
就此,美國司法部已與德國合作,修復了此次攻擊的目標及漏洞,包含數百個辦公室/家庭路由器及Outlook等相關漏洞(CVE-2023-23397:Outlook存在權限擴張之高風險安全漏洞),凸顯跨國資安合作的重要性。
(二)DDoS攻擊與認知作戰
2024年7月31日為距離美國選舉日還有不到100天,美國網絡安全暨基礎設施安全局(CISA)和聯邦調查局(FBI)聯合發布了《如您所知:DDoS攻擊可能會阻礙選舉》,但不會妨礙投票。
此公告,目標是提高民眾對於DDoS攻擊的認知,即APT駭客組織使用DDoS攻擊選舉(或支援)系統,或將會阻礙民眾獲取選舉資訊,但不會影響選舉過程的安全性或完整性,但會造成一些輕微的干擾,或阻止民眾及時收到資訊,使得不法分子(例如境外敵對勢力或網絡犯罪分子)利用DDoS攻擊,讓人民對選舉系統或流程產生懷疑,再透過虛假訊息激化民主社會的對立情緒,造成社會恐慌。
就此,美國網絡安全暨基礎設施安全局(CISA)指出:「民眾知情是減少敵對國相關網攻與認知作戰的衝擊,降低虛假訊息影響的關鍵」,故CISA發布DDoS攻擊對選舉的影響性,提高人民的資安認知及意識,以抵抗DDoS攻擊後,對民主及選舉的認知作戰。
(三)因應親中俄APT攻擊的策略
未來,隨著中俄獨裁戰隊抗美歐的情勢愈加嚴峻,使台灣將面臨更強烈的APT攻擊。
就此,我國可以參考美國對於境外敵對國支持APT駭客組織的(詳見表2)的應變策略,例如今(2024)年3月25日美國對中共支持(或親中)的APT31駭客組織採取了多種應變策略,包含強化防護關鍵基礎設施、刑事法律制裁APT成員、制裁APT企業組織、提供懸賞計劃及提升國際合作力道。
表 2美國公布境外敵對國支持APT駭客組織
支持國 | 網攻目標 | 駭客行為、攻擊特徵及目的 |
中國 | 追求國家利益,滲透關鍵基礎設施網絡 | 中國支持APT組織,以國家利益為導向,滲透美國、歐盟及台灣等民主國家之關鍵基礎設施網絡,並取得其所需的資訊,進行認知作戰。 |
俄羅斯 | 網絡間諜活動、壓制社會與政治活動、竊取智慧財產權、傷害國際對手 | 俄羅斯支持APT組織,進行跨國網絡間諜活動,竊取智慧財產權、抑制反獨裁聲音,以削弱敵對(民主)國家的國際及地區穩定性。 |
北韓 | 搜集情報、實施攻擊、創造收入 | 北韓培養APT組織,進行情報收集和駭客攻擊,竊取虛擬貨幣及執行網絡犯罪,創造收入,支持其發展軍武。 |
伊朗 | 壓制社會與政治活動、傷害地區和國際對手 | 伊朗支持的APT組織,使用網攻達成鎮壓內部異議聲浪及社會運動,及削弱其地區和國際敵對勢力的影響力,維持政權穩定。 |
資料來源: https://www.cisa.gov/topics/cyber-threats-and-advisories/nation-state-cyber-actors
1.強化防護關鍵基礎設施
APT攻擊往往針對國家的關鍵基礎設施,如國防、政府部門及重要的關鍵基礎設施及產業,故美國政府不斷加強關鍵基礎設施的網絡防禦能力,及積極與私人(企業或組織)部門合作,確保該基礎設施能夠抵禦APT級別的攻擊,及保護重要產業的智慧財產權及營業秘密,確保國家安全及社會穩定。其中,策略關鍵點:
⑴提高投資關鍵基礎設施的資安防護技術,完備其防禦的組態及縱深項目,達成強化防禦能力:
A.優先修復已知漏洞:
i.定期檢查已知的漏洞(known-exploited-vulnerability-catalog)清單,立即採取修復行動。
ii.執行自動化的漏洞掃描工具,以識別及優先處理高風險漏洞。
B.修復網絡組態錯誤配置:執行網絡配置的組態檢核工具,定期掃描網絡拓撲和設備配置,尤其針對開放的連接埠和不當配置的網絡協定進行檢查。
C.強化日誌記錄及監控高風險連接埠:監控日誌記錄是發現異常行為的關鍵,尤其是命令列界面(Command-line interface, CLI)等高風險行為,應被詳細記錄,同時關閉或監控高風險連接埠(如遠端桌面協定、伺服器等訊息)。
D.實施最小特權原則:最小特權原則確保每個使用者或系統只擁有執行所需操作的最低權限。
E.加強身份及存取管理(IAM):實施多因素身份驗證(MFA)及強密碼策略來保護重要系統和資訊;同時,利用身份治理和管理(IGA)工具來追蹤並管理所有使用者身份與權限變更。
⑵提高政府、私人(企業或組織)及國際夥伴合作力道,構建資安縱深防禦架構。
2.刑事法律制裁
美國司法部起訴七名中國駭客,指控他們合謀實施入侵美國的關鍵基礎設施及電腦,同時提高國際間的司法合作,追查與逮捕APT組織與駭客。
3.制裁APT企業組織及個人
美國財政部對參與APT攻擊的個人和企業實施經濟制裁,例如制裁武漢曉睿智科技(Wuhan XRZ)及相關個人,限制駭客組織取得不法資金,削弱其執行惡意網絡活動的量能。
4.提供懸賞計劃
美國國務院的司法獎勵計劃(RFJ)提供高達1,000萬美元的懸賞,尋求APT31及其成員的相關情報,協助執法機構進行調查與追捕。
5.國際合作
APT攻擊通常具有跨國性質,需要跨國間的密切合作,才能有效應變該攻擊,故此次美國針對APT31攻擊的事件,與盟國分享資安情報(或情資),及執行聯合打擊駭客行動。
(四)結論
境外敵對國家(勢力)所支持或親該國家的APT攻擊,具有高度隱蔽性(計劃性)、持續性(目標導向),重大威脅關鍵基礎設施,影響國家安全。
因此,台灣必須採取多重的資安應變策略,包括提高投資關鍵基礎設施的資安防護技術與量能,例如提供或補助關鍵基礎設施進行共同流量清洗服務的合作契約,以強化應變DDoS攻擊的量能;進一步,應修改法律制裁(駭客)的構成要件及項目(如制裁APT組織或企業)及加強國際合作,提高我國的資安韌性。
作者為元智大學資管系專任助理教授、台灣駭客協會理事