中國駭客使用美國網路武器
2019.06.11
瀏覽數
99
壹、新聞重點
2019年5月6日《紐約時報》(New York Times)報導,網路安全公司賽門鐵克(Symantec)發現,與中國國家安全部有密切關係的駭客組織「七葉樹」(Buckeye,或稱APT3、Gothic Panda),從2016年3月到2017年8月,以美國國家安全局(National Security Agency, NSA)的網路武器攻擊位於香港、比利時、盧森堡、菲律賓、及越南等地的研究及教育機構。
賽門鐵克的研究人員分析程式編碼以及攻擊的時間點,認為中國駭客組織並非竊取美國的網路武器,而是在NSA攻擊中國電腦時獲取這些武器,就如同在槍戰中撿到對手的槍之後佔為己有。這是首次有證據顯示中國取得美國網路武器,也再度引起外界對美國是否能有效管控其網路武器的質疑。[1]
貳、安全意涵
在駭客攻擊手法中,最危險的是利用所謂「零時差弱點」(zero-day vulnerability)進行攻擊。「零時差弱點」意指駭客掌握電腦作業系統中業者(如微軟)尚未發現的安全性缺失,利用漏洞攻擊(exploit)程式入侵。此種方式不需要開啟檔案或是點選連結,只要連上網路就會被入侵,完全無法防範。當駭客進入系統以後,就可以安裝各種惡意軟體(malware)如勒索病毒或後門以達成其目的。掌握「零時差弱點」即可遂行蒐集情報或網攻的任務,但是「零時差弱點」往往要投入大量時間與資源去研究才能發現,對於網路強權國家而言,「零時差弱點」是一項非常有價值的資產。
一、NSA「零時差弱點」外洩導致全球電腦災難
在2017年4月,一個自稱為「影子掮客」(The Shadow Brokers)的神秘組織將NSA所使用的幾個漏洞攻擊程式與惡意後門軟體「雙重脈衝星」(DoublePulsar)在網路上洩漏,這些網路武器很快地被各國駭客組織取得。雖然在「影子掮客」外洩的前幾個月NSA就已經察覺有異,並緊急通報微軟修補這些漏洞攻擊程式所利用的安全性缺失,但是為時已晚,導致同年5、6月間的全球電腦大災難。
北韓的惡意軟體「想哭」(WannaCry)以及俄羅斯的惡意軟體「非佩特亞」(NotPetya),都是搭配這些被外洩的NSA漏洞攻擊程式,在世界各地肆虐沒有修補這些漏洞的電腦。「想哭」在2017年5月10日發動攻擊,數日之內感染超過150個國家的數十萬部電腦;「非佩特亞」在同年6月27日開始橫掃烏克蘭境內約10%的電腦,並有多家跨國企業受到攻擊,包括全球最大貨櫃運輸業者快桅集團(AP Moller-Maersk)以及美國製藥大廠默克(Merck),造成大約百億美金的損失。[2]
到目前為止,「影子掮客」成員的身份和來源仍然不明,其如何取得NSA網路武器也依然是個謎。外洩事件釀成全球災難讓NSA飽受抨擊,也讓外界開始懷疑美國是否能有效管控其網路武器。
二、網路武器在使用之後恐落入敵手
賽門鐵克這次的研究報告指出,早在2016年3月,也就是「影子掮客」洩漏美國網路武器的一年以前,「七葉樹」就已經在使用「雙重脈衝星」了。由於「七葉樹」所使用的版本較「影子掮客」的版本先進,可以攻擊較新版本的作業系統,因此「七葉樹」的版本不是來自於「影子掮客」。至於「七葉樹」的版本究竟從何而來?經過程式編碼的分析比較,賽門鐵克認為並不是從NSA偷來的,因為和NSA的原始版本也有差異。雖然有幾種不同的可能性,但最可能出現的情況是「七葉樹」在發現中國電腦受到NSA攻擊之後,根據留在電腦裡面殘存的程式,以逆向工程還原重製而成。[3]
網路武器在侵入電腦之後一定會留下痕跡,在2018年4月於舊金山舉行的資安大會RSA Conference上,就有資安專家示範如何還原網路武器。[4]賽門鐵克的報告顯示,網路武器是一把雙面刃,使用之後可能會被對方獲取,反過來傷害自己或盟友。
參、趨勢研判
一、美國或將檢討「弱點衡平過程」
「零時差弱點」的攻擊手法,建立在駭客組織掌握了作業系統的安全性漏洞,而得以利用這些漏洞進行攻擊。對NSA來說,掌握安全性漏洞使其得以蒐集情報,但若是漏洞被敵人發現,也會損及美國的國家安全及經濟利益,因此,安全性漏洞太多或太少都是問題。為了解決這個兩難,美國政府有一個「弱點衡平過程」(Vulnerabilities Equities Process, VEP)的機制,以決定哪些安全性漏洞要告知業者進行修補,哪些安全性漏洞先保留起來讓NSA使用。
NSA保留安全性漏洞的作法引起很大爭議,NSA一直以來都以“Nobody But Us”(NOBUS)為自己辯護,意指美國網路能力大幅超越其他國家,這些安全性漏洞除了NSA以外,沒有其他人可以掌握。然而,隨著各國網路能力大幅提昇與「影子掮客」的出現,NOBUS的說法已經站不住腳,這次賽門鐵克的報告,又是對NSA的一次重擊。[5]因此,「弱點衡平過程」的機制,已經有必要做大幅檢討,美國必須重新審視主要對手的網路能力,並重新評估NSA所保留的安全性漏洞是否應該通知業者修補。
二、各國在使用網路武器時將會更加謹慎
網路武器特性在於發射武器的同時,其實也把武器分享給對手,只是看對手是否有能力還原而已。賽門鐵克報告揭露中國駭客組織早有能力將對手的武器據為己有並予以使用,對擁有網路武器的國家是個很大的警訊。在現今各國網路能力愈來愈接近的情況下,使用網路武器的風險將會愈來愈高,可以預期未來各國對於網路武器的使用,將會更加謹慎小心。使用前要先評估對手能力,以免對手「以彼之道,還施彼身」,且非必要時不輕易使用。
[1] Nicole Perlroth, David E. Sanger, and Scott Shane, “How Chinese Spies Got the N.S.A.’s Hacking Tools, and Used Them for Attacks,” New York Times, May 6, 2019, https://tinyurl.com/yysm2c6a
[2] Andy Greenberg, “The Strange Journey of an NSA Zero-Day—into Multiple Enemies’ Hands,” WIRED, May 7, 2019, https://www.wired.com/story/nsa-zero-day-symantec-buckeye-china/
[3] “Buckeye: Espionage Outfit Used Equation Group Tools Prior to Shadow Brokers Leak,” Symantec, May 7, 2019, https://tinyurl.com/yyblt3y7
[4] Shaun Nichols, “Remember those stolen 'NSA exploits' leaked online by the Shadow Brokers? The Chinese had them a year before,” The Register, May 7, 2019, https://tinyurl.com/y2l2lut8
[5] Ben Buchanan, “Why Are the U.S.’s Cyber Secrets Getting Stolen? Because China’s Getting Better at Stealing Them,” Lawfare, May 15, 2019, https://tinyurl.com/y2g4mow5