美國「前進防禦」網路戰略落實與變革
2022.05.06
瀏覽數
1561
壹、新聞重點
美國司法部4月6日公布,已在一項經法院批准的行動中,自受感染的網路防火牆設備移除負責殭屍網路(botnet)指管的惡意軟體(資安研究人員命名為Cyclops Blink),藉此阻斷威脅者對殭屍網路的控制。殭屍網路以感染裝置進行大規模分散式阻斷攻擊(distributed denial-of-service)影響目標網路。此惡意軟體用以控制感染的裝置,咸認隸屬俄羅斯總參謀部情報總署(即GRU)的「沙蟲」(Sandworm)團隊之手,自2019年首次現身以來,雖然2022年2月陸續發現感染美國資安公司WatchGuard及華碩公司的路由器設備,但未見以此殭屍網路發動攻擊的跡象。這亦顯示,本次美國司法部的行動實質上即預先阻斷威脅者可能的攻擊途徑,以行動落實美國2018年國家網路戰略中提出的「前進防禦」(defend forward)概念。同時,美國網路司令部指揮官中曾根上將(Gen. Paul Nakasone)在參議院軍事委員會聽證會揭露,網路司令部在俄烏戰爭有對烏克蘭提供協助;微軟公司亦宣布,在法院批准下接管GRU所屬APT-28團隊用以攻擊烏克蘭的7個網域,阻斷進一步攻擊。顯示美國逐步落實「前進防禦」網路戰略外,亦逐漸轉為主動、朝向全政府途徑與公私協力進行變革,以下就此進行分析。[1]
貳、安全意涵
一、網路作戰仍為俄羅斯資訊戰的一環
鑑於2015、2016年俄羅斯對烏克蘭電網攻擊事件,本次俄烏戰爭初期,各國預期有大規模針對關鍵基礎設施的攻擊,然似未發生。針對網路作戰於俄烏戰爭所扮演的角色,從戰事開始至今有不同解讀。其中之一為網路作戰本質具高度隱蔽性,即使網路攻防不斷,但不易察覺。此歸因(attribution)不易的問題,隨公開訊息逐漸揭露已逐漸明朗。例如,美國政府透過媒體表示,2022年2月俄烏戰爭初期,美國通訊公司Viasat的KA-SAT通訊衛星服務中斷,影響烏克蘭與歐洲國家,此次服務中斷即源於俄羅斯軍方的網路攻擊。[2]
至於本次行動涉及殭屍網路指管的Cyclops Blink惡意軟體,在2022年以美國資安公司WatchGuard及華碩的路由器為感染標的時,並無特定針對的產業類別以及國家,表示此惡意軟體較可能是為建立基礎設施,預備進行長期的監控或破壞行動。從Cyclops Blink惡意軟體始、陸續揭露來自俄羅斯的各項資料刪除程式(wiper),以及烏克蘭電腦緊急應變小組(Computer Emergency Response Team of Ukraine,簡稱CERT-UA)4月12日公布「沙蟲」團隊針對烏克蘭境內變電所的攻擊,都顯示網路作戰仍為俄羅斯資訊戰的一環,並有執行大規模行動的跡象。微軟公司也表示,就他們的觀察,所有俄羅斯國家所屬的駭客團體在俄烏戰爭期間都有針對烏克蘭政府及其關鍵基礎設施進行攻擊,目前所見的只是冰山一角。[3]
二、美國以「公私協力」及「全政府途徑」主動因應資安威脅
美國政府面對重大資安事件,從因應、揭露事件到確定攻擊方,多半是以事後應變的方式進行,並有至少3個月的反應期。例如2021年3月微軟Exchange郵件伺服器遭攻擊的資料洩漏事件,後續透過法院批准、主動移除後門軟體的行動於4月公布。直到2021年7月19日,才由美國、英國、歐盟、北約及其他國家發表聯合聲明,表示此次攻擊行動幕後指使者是中共國家安全部。[4] 但本次由美國司法部惡意軟體移除行動,從發現惡意程式、確認來源、展開行動並公開訊息,已縮短至2個月內完成,展現以「全政府途徑」主動因應的行政效率。這一系列行動符合從俄烏戰爭至今,美國以迅速公開相關情資、揭露俄羅斯各項軍事行動的作法,亦藉此形塑資訊環境以打亂俄羅斯作戰節奏,並能透過與盟友共同發布警告及「公私協力」的方式,如微軟公司同步阻斷威脅途徑,擴大防禦面。[5]
參、趨勢研判
一、美國將持續透過公開威脅情報及預先阻斷攻擊途徑反制
從美國政府近期訊息來看,其情報揭露與展開行動的範圍,從已知並有受害者的資安威脅,逐步擴大至揭露未有受害者的可能潛在威脅,以預先防禦限縮威脅者的「攻擊面」(attack surface)。在網路防禦部分,能夠落實「前進防禦」策略、積極阻斷可能攻擊途徑,由被動控制損害持續擴大、轉為主動限制潛在威脅範圍,並透過情報交流以及盟友合作進行網路防禦。美國網路安全暨基礎設施安全局(Cybersecurity and Critical Infrastructure Agency, CISA)4月初即成立「豎起盾牌」(Shields Up)入口網站,統整最新威脅情報與資安工具,並列出從個人到企業組織都能運用的資安指引,不只強調國家網路安全與企業資安,也呼籲個人與家庭要懂得自保。
與歐巴馬、川普總統時期相比,拜登政府顯然已經下定決心,以更快速、迎頭痛擊的方式來反制俄羅斯政府所屬的駭客攻擊。這樣短時間的轉變,很可能與普欽的互動經驗,以及俄羅斯駭客持續對烏克蘭關鍵基礎設施構成威脅的急迫性有關。尤其在歐美各國對俄羅斯展開一連串的經濟制裁後,俄羅斯政府所屬的駭客,仍可能會以大規模網路攻擊進行報復。同時,引以往釋出訊息(signaling)的方式,包括由美國司法體系起訴俄羅斯駭客等等,顯然成效不彰,可預期今後美國勢將持續透過公開威脅情報、或預先阻斷攻擊途徑等更具先制出擊性質的手段來因應。[6]
二、應重視工業控制系統與不斷電系統資安威脅
近期由美國網路安全暨基礎設施安全局、聯邦調查局等單位聯合發布資安警報,針對工業控制及不斷電系統的威脅提出警訊,由於此兩項系統應用範圍橫跨各種不同產業,因此潛在影響層面極廣。[7]其中揭露利用工業控制系統內可程式化控制器(programmable logic controllers, PLC)的惡意軟體框架(稱為PIPEDREAM),有如瑞士刀一般,提供威脅者入侵工控系統所需的各種軟體工具。另外,不斷電系統(UPS)則是維持系統持續營運的重要組成,近年來由於營運者逐漸將UPS連線、再透過網路進行遠端監控,也可能成為駭客攻擊標的。尤其在駭客針對電網攻擊造成停電後,若不斷電系統同樣因攻擊而無法運作,可能嚴重延遲系統恢復所需時間。
值得注意的是,此兩項威脅均是近一至兩個月才經揭露的潛在威脅,尤其PIPEDREAM惡意軟體框架,即使已初步確認源自俄羅斯,但仍未發現已實際運用進行攻擊的跡象。[8] 因此在兩項系統威脅遽增的情況下,目前仍有積極防禦的機會。而俄羅斯在攻擊手法與工具遭揭露後,亦能預期將提高其未來攻擊行動成本與降低成功公算。
[1]“Justice Department Announces Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate (GRU),” U.S. Department of Justice, April 6, 2022, https://www.justice.gov/opa/pr/justice-department-announces-court-authorized-disruption-botnet-controlled-russian-federation; “Posture Statement of General Paul M. Nakasone, Commander, United States Cyber Command Before the 117th Congress Senate Committee on Armed Services,” U. S. Senate Armed Services Committee, April 5, 2022, https://www.armed-services.senate.gov/imo/media/doc/5%20Apr%20SASC%20CYBERCOM%20Posture%20Statement%20(GEN%20Nakasone)%20-%20FINAL.pdf.
[2]Ellen Nakashima, “Russian Military Behind Back of Satellite Communication Devices in Ukraine at War’s Outset, U.S. Officials Say,” The Washington Post, March 24, 2022, https://www.washingtonpost.com/national-security/2022/03/24/russian-military-behind-hack-satellite-communication-devices-ukraine-wars-outset-us-officials-say/.
[3]Tom Burt, “Disrupting Cyberattacks Targeting Ukraine,” Microsoft On the Issues, April 7,.2022, https://blogs.microsoft.com/on-the-issues/2022/04/07/cyberattacks-ukraine-strontium-russia/.
[4]Ina Fried, “U.S. and Key Allies Accuse China of Microsoft Exchange Cyberattacks,” Axios, July 19, 2021, https://www.axios.com/china-cyberattacks-nato-181e71d2-7414-45f3-9463-c8b1d46392c1.html.
[5]“Microsoft Takes Down Domains Used in Cyberattack Against Ukraine,” threatpost, April 11, 2022, https://threatpost.com/microsoft-takedown-domains-ukraine/179257/; “Russian State-Sponsored Criminal Cyber Threats to Critical Infrastructure,” CISA, April 20, 2022, https://www.cisa.gov/uscert/ncas/current-activity/2022/04/20/russian-state-sponsored-and-criminal-cyber-threats-critical.
[6]Andy Greenberg, “How Russia's Invasion Triggered a US Crackdown on Its Hackers,” Wired, April 8, 2022, https://www.wired.com/story/russia-ukraine-us-hacker-counterattack/.
[7]“Mitigating Attacks Against Uninterruptable Power Supply Devices,” CISA, March 29, 2022, https://www.cisa.gov/uscert/ncas/current-activity/2022/03/29/mitigating-attacks-against-uninterruptable-power-supply-devices.
[8]“CHERNOVITE’s PIPEDREAM: Malware Targeting Industrial Control Systems (ICS),” Dragos, April 13, 2022, https://www.dragos.com/blog/industry-news/chernovite-pipedream-malware-targeting-industrial-control-systems/.