初評KillNet攻擊洛克希德馬丁網站事件
2022.08.26
瀏覽數
5128
壹、新聞重點
2022年8月10日俄羅斯駭客組織KillNet在其《電報》(Telegram)頻道中貼文宣稱已攻陷美國軍火商洛克希德馬丁(Lockheed Martin,簡稱洛馬)網站,該次攻擊係由KillMilk、Russian Anonymous 和 Carbonsec聯手所發動的攻擊。KillNet展示洛馬網站服務中斷的截圖,並宣稱洛馬的員工授權系統、美國太空總署(National Aeronautics and Space Administration,以下簡稱NASA)智能卡授權系統被破解,洛馬所有員工的個人資料也被竊取。根據報導指出,KillNet總計取得9GB的各類資料,部分資料可能是洛馬與NASA衛星計畫相關,並將這些資料送到俄羅斯情報部門研究,但該文件確切為何、有何價值等細節,並未被透露。
洛馬曾於2018年被評定為全球網路安全排名前25名之一。針對此次的攻擊,洛馬僅表示,「知道有這些報導,公司已製定相關政策和步驟以減輕網路攻擊對我們業務的威脅。……我們對我們強大的多層資訊系統的完整性和數據安全相當有信心」。針對洛馬的否認,KillNet表示將在暗網中出售員工資訊。[1]
貳、安全意涵
KILLNET此次的攻擊原因乃針對美方提供洛馬所製造的海馬斯(HIMARS)多管火箭給烏克蘭所致。KillNet是2022年2月俄烏衝突後所成立的親俄羅斯駭客集團,素以「分散式阻斷服務」(Distributed Denial-Of-Service, 以下簡稱 DDoS)攻擊著稱,2022年5月底,KillNet在《電報》頻道中向美、英、義等10國正式「宣戰」。在本次事件中,由於雙方均未提出具體網站成功被駭或有效防堵的證據,因此是否被駭與實際受損的程度皆未知。但是透過本次的攻擊,本文認為有下列三項安全意涵。
一、網路戰宣傳虛實併用
雖然KillNet聲稱「攻陷」洛馬網站並「竊取」該公司的多種機敏性資料,但是這有可能是網路戰攻防虛實併用的手法。KillNet過去常用的攻擊手法是DDoS,並沒有盜取網站資料的前例,其網攻能力可能不足以進行竊取資料,雖然不能排除是其他組織協助KillNet盜取資料。另外,以員工資料為例,有分析指出,這些名單雖然看似洛馬員工,但是這些資料有可能是舊資料或是已公開資料的重新組合,並不能代表洛馬網站確實被駭或資料被竊,有可能是親俄羅斯駭客組織的宣傳手法。[2] 而洛馬對於遭受攻擊一事也沒有正面駁斥,這或許也暗示KillNet的攻擊的確造成部分「災情」。以目前的訊息推估,DDoS可能造成洛馬網路服務短暫中斷,但資料遭竊的部分還需要更多的資訊才能證實。
二、網路安全漏洞日新月異防不勝防
俄烏衝突開始後,西方與俄羅斯的駭客集團持續對對方重要的網站,也互有斬獲。本次的攻擊始於2022年8月1日,並經由媒體於2022年7月22日披露即將攻擊的訊息,同時該報導也稱,攻擊方式將採取新的攻擊模式,顯示洛馬網站在被攻破前,應該已經獲得情資。[3] 若洛馬的網站真的被駭,顯示即便是較安全的多層架構也存在安全疑慮。2022年2月美國國土安全部網路安全和基礎設施安全局(Cybersecurity & Infrastructure Security Agency)曾警告,俄羅斯駭客一直滲透美國國防採購承包商,以獲得美國武器開發和部署時間表、車輛規格、通信基礎設施和訊息技術計劃的資料,這些資料為俄羅斯提供了洞察美軍武器發展的重要依據。藉由這些文件,俄羅斯能夠調整自己的軍事計劃和優先發展事項,加快技術開發能量,並告知外交政策制定者美方的意圖,以利對抗。[4]
三、資料外洩或衍生人身安全疑慮
由於KillNet聲稱將在暗網上出售洛馬員工與洛馬求職者的訊息,並公布一段包含員工姓名、地址、電子郵件、照片和電話號碼的Excel試算表影片。此外,KillNet也號召其他「無所事事」的人,將洛馬武器所造成傷害的照片和影片,寄給該公司員工,讓他們意識到他們所製造的東西帶來的殘酷結果。雖然員工資料可能是造假而來,但若這些資料與散布作法皆屬實,對於身負國防科技機密的洛馬員工或求職者而言,可能因駭客或激進份子帶來的報復行為而心生畏懼。
參、趨勢研判
一、與中俄友好國家的駭客合作動機獲得強化
美中與美俄間的對抗不僅讓中俄在國際事務上團抱,也蔓延到駭客世界。雖然過去中俄對於美國攻擊都是各自為政,也出現中國駭客竊取俄羅斯軍事機密的事件, 但是在目前中俄與西方對峙情況越來越嚴重,雙方將有更強的合作動機。以美國眾議院議長裴洛西(Nancy Pelosi)訪台為例,KillNet在8月2日在其頻道上貼出「支持中國?」幾天後,KillNet透過俄媒發表對於該事件的看法,認為美方「企圖發動一場新的戰爭,使世界陷入更多的混亂」,[6] 因此呼籲中國駭客加入打擊美國及其網路基礎設施的行列。[7] 裴洛西來台引發來自中國與俄羅斯的大量攻擊政府網站事件,最高每分鐘達一億七千萬餘次,[8] 不排除為雙方在此默契下所做的協同攻擊。過去川普政府就認為俄羅斯、中國、伊朗、北韓為網路四大對手,也曾經發生過中國協助北韓發展駭客攻擊技術、俄國提供北韓網路連線管道等合作案例。[9] 因此在西方與反西方陣營磨擦加劇的情況下,未來不僅這四國的網路協同作戰的動機獲得強化,也可能會有新的與中俄友好國家參與反西方的網路攻擊。
二、主承包商與分包商的供應鏈安全應持續強化
國防採購承包商因為身懷國家武器研發、設計、開發與部署機密,而承包商的下級承包商常分布全球各地,涉及國際供應鏈,而每個國家的網路安全規範不一,尤其是較小的次級供應商囿於資安成本高昂,或是對網路安全認知差異,常常讓機敏資料暴露於安全防護之外,因此向來是駭客攻擊的主要目標之一。本次駭客事件中,NASA因為主承包商洛馬「被駭」,可能讓駭客有機會透過NASA授權系統竊取NASA的機密資料。美國國防部在2018年與2019年提出國防主承包商在採購驗證的規定,要求主承包商必須能夠驗證分包商有能力接收和保護主承包商的「受控非機密資料」(controlled unclassified information, CUI)。[10] 也就是說主承包商對於機密資料的保護不僅限於其公司範圍內,對於分包商在機敏資料的保護上也要盡到監督之責。
[1]根據KillNet所公布的訊息,被駭的網站包含:洛馬及其子公司僅供授權用戶使用的網站(https://auth.p.external.lmco.com/)、洛馬員工授權網站(https://access.lockheedmartin.com)、NASA智能卡授權系統與RSA加密演算授權系統(https://auth.launchpad.nasa.gov/)、洛馬所有求職者的資料(https://workbench.brassring.com/)、代理用戶的身分資料(https://id.nasa.gov/uss/AUIDRetrieval.uss),詳見https://t.me/c/1777888037/22128;有關洛馬網站停止服務的截圖,詳見https://t.me/killnet_mirror/1981; 有關洛馬對於網站被駭的回應,詳見Giulia Carbonaro, “HIMARS-Maker Lockheed Martin ‘Confident’ against Russian Hackers,” Newsweek, August 10, 2022, https://reurl.cc/bEDR9E.
[2]Kevin Townsend, “Killnet Releases ‘Proof’ of Its Attack Against Lockheed Martin,” Security Week, August 12, 2022, https://www.securityweek.com/killnet-releases-proof-its-attack-against-lockheed-martin.
[3]Александра Васильева, “Русские Хакеры Готовят Крупнейшую Кибератаку на Компанию, Поставляющую Киеву РСЗО HIMARS,” Life.ru, 22 июля, 2022, https://life.ru/p/1511064.
[4]“Sheilds Up,” Cybersecurity & Infrastructure Security Agency, https://www.cisa.gov/shields-up; Lee Ferran, “Russian Hackers Raided Defense Contractors for Two Years, Stole Sensitive info: US,” Breaking Defense, February 16, 2022, https://breakingdefense.com/2022/02/russian-hackers-raided-defense-contractors-for-two-years-stole-sensitive-info/.
[5]〈中國駭客間諜全球入侵 下手對象包括盟友俄羅斯〉,《中央社》,2022年5月20日,https://www.cna.com.tw/news/acn/202205200200.aspx。
[6]Валерий Романов, “В Killnet Обратились к Китайским Хакерам,” Газета.Ру, 17 августа 2022, https://www.gazeta.ru/tech/news/2022/08/09/18294110.shtml.
[7]“Российские Хакеры Сделали то, что Обещали. Группировка Killnet Взломала Разработчика Американских Истребителей F-35 и Гиперзвуковых Ракет,” iXbt, February 16, 2022,https://www.ixbt.com/news/2022/08/10/killnet-f-35.html.
[8]崔慈悌、劉宗龍,〈境外網軍攻擊我政府入口網站 每分鐘最高1億7千多萬次〉,《中時新聞網》,2022年8月9日,https://reurl.cc/kEr0qb。
[9]張子清,〈集全國之力加中國支援 北韓網軍成攻擊利器〉,《中央廣播電台》,2020年11月16日,https://www.rti.org.tw/news/view/id/2084851; 丘其崇,〈突破封鎖 北韓獲俄提供網路連線〉,《中央廣播電台》,2017年10月5日,https://www.rti.org.tw/news/view/id/372538。
[10]受控非機密資料是指該資料並非機密資料,但是應該受到保護的資料,包含個人身份資料(Personally Identifiable Information)、敏感的個人資訊(Sensitive Personally Identifiable Information)、商業機密(Confidential Business Information)、非機密受控技術信息(Unclassified Controlled Technical Information)、僅供官方適用資訊(For Official Use Only)等,詳見Controlled Unclassified Information (CUI) Program Frequently Asked Questions (FAQs),United States Environmental Protection Agency, https://www.epa.gov/cui/controlled-unclassified-information-cui-program-frequently-asked-questions-faqs。