中國駭客的「雲端跳躍者」攻擊行動
2019.07.08
瀏覽數
77
壹、新聞重點
2019年6月25日網路安全公司「網路推理」(Cybereason)發布調查報告,指出與中國國家安全部有密切關聯的駭客組織APT10(Advanced Persistent Threat 10),侵入超過30個國家的10餘間電信公司,鎖定並竊取約20名主要在西歐國家的特定政治人物或政府官員的電話使用資料。無獨有偶,《路透社》(Reuters)在6月26日也報導,包括APT10在內的中國駭客侵入至少8家全球大型科技服務業者(technology service providers),並透過這些業者的系統竊取其客戶的商業機密。[1]
中國官方在面對記者詢問時維持一貫否認的態度,國家安全部表示,中國政府從來沒有以任何形式參與、也不支持任何個人進行竊取商業機密的行為。然而「網路推理」公司表示,他們在電信公司的案例中發現至少五種網路工具是中國駭客組織慣用的,有足夠的證據認定攻擊來自中國。[2]
貳、安全意涵
一、中國駭客透過雲端服務進行攻擊
雲端計算(cloud computing)為使用者提供資料儲存與遠端服務,由於其便利性,政府單位、民間企業與個人對此服務趨之若鶩,成為資通訊產業當前趨勢,提供這項服務的業者也因此擁有大量客戶。然而,客戶資料集中於業者,或是能夠透過業者進入客戶資訊系統,也成為資訊安全的一大隱憂。中國駭客即是藉由侵入科技服務業者與電信公司,進而竊取其客戶資料,此即所謂的「雲端跳躍者」(Cloud Hopper)攻擊行動。
中國駭客的「雲端跳躍者」攻擊手法,首先是寄發含有惡意軟體或網頁連結的釣魚郵件(phishing email)給科技服務業者的員工,若是員工不慎下載軟體或點選連結,駭客就能獲取其帳號密碼以進入業者系統。在進入系統之後,駭客會先勘查系統環境再建立據點及後門,並逐步取得管理者權限,一旦駭客取得管理者權限,在業者系統中即可來去自如。接下來,駭客就可以透過連接到客戶的「跳板伺服器」(jump server)進入客戶的資訊系統竊取資料。在《路透社》的報導中,一個「雲端跳躍者」的案例即是中國駭客經由慧與科技公司(Hewlett Packard Enterprise)的雲端服務進入瑞典通訊設備大廠愛立信(Ericsson)的系統。[3]
二、「雲端跳躍者」主要竊取商業、國防機密
《路透社》指出,中國駭客經由雲端服務侵入的受害者除了愛立信以外,還包括旅遊資訊系統商Sabre以及美國造船廠杭廷頓因高斯集團(Huntington Ingalls),這些廠商在業界都具有舉足輕重的地位。愛立信在5G通訊設備上是中國廠商華為的主要競爭對手;Sabre則是與全球數百家航空公司及數十萬間飯店合作,提供旅客機位與訂房的服務;杭廷頓因高斯更是國防產業的重要承包商,為美國海軍承造核子動力潛艦。
從受害者名單可以看出,中國駭客的「雲端跳躍者」攻擊行動鎖定關鍵產業的龍頭大廠,目的是竊取商業及國防機密,再提供給中國廠商利用,以增進中國經濟以及國防產業的發展。「網路推理」公司的調查報告指出,中國進行這種類型的駭客攻擊時間已經長達七年之久,[4]因此,中國近年來在科技與軍事力量的大幅提升,很有可能是得利於「雲端跳躍者」行動所竊取到的機密與智慧財產權。為制止並懲罰中國駭客的網路間諜行為,美國司法部於2018年12月將兩名APT10成員朱華(Zhu Hua)、張士龍(Zhang Shilong)起訴。
參、趨勢研判
一、中國間諜行為將由網路空間延伸到實體空間
在「雲端跳躍者」的攻擊行動中,值得注意的一點是中國駭客不只竊取商業及國防機密,也蒐集特定人士的個人資訊。從旅遊資訊系統商Sabre竊取的資訊可以得知個人的商務或旅遊行程安排,包括航班、租車及住宿。一旦握有這些資料,中國情報單位即可派出人員進行跟監、竊聽、甚至誘捕等實體間諜行為,如此所產生的安全威脅就不只限於商業與經濟,而是政治、外交的國家安全層次。
另一方面,「網路推理」公司指出,中國駭客從電信公司竊取的資料,配合地理資訊系統,可以得知特定人物在何時何地與何人聯絡,以及通話時間長短。雖然無法得知實際通話內容,但這些資訊可以拼湊出一個人的生活習性與人際網絡,若是此人為政治領導人或高階政府官員,這些資訊就具有非常高的情報價值。[5]「網路推理」公司發現,中國駭客已經從電信公司鎖定並竊取約20位特定人士的個人通訊資料,可以預期,中國未來將會藉由網路間諜竊取到的個人資料,進一步擴展實體間諜行為。
二、「雲端跳躍者」攻擊仍將難以防範
儘管中國駭客的「雲端跳躍者」攻擊行動造成各國在經濟、國防、甚至國家安全的重大威脅,這種類型的駭客攻擊在未來仍將難以防範。主要原因是客戶資料被竊是科技服務業者不能說的秘密,外界一旦得知將會失去客戶信任、對雲端業務造成嚴重打擊、甚至要背負法律責任,其後果可能危及業者生存。因此,這些廠商在發現被駭客侵入之後,多半不會將此資安事件透露出去,而是自己處理之後就結案。在《路透社》的報導中,被指稱遭到中國駭客入侵的科技服務業者,一概不承認或是不回應即為顯例。
然而,若是資安事件的訊息無法互相流通,其他廠商就不會有警覺並加以防範,結果造成中國駭客在各大廠商間肆虐,而業者這種自私的心態及作法連執法單位也莫可奈何。因此,在科技服務業者維護自身商譽及利益的考量下,可以預期「雲端跳躍者」的攻擊行動還會繼續發生。
[1] “Operation Soft Cell: A Worldwide Campaign Against Telecommunications Providers,” Cybereason, June 25, 2019, https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers; Jack Stubbs, Joseph Menn and Christopher Bing, “Exclusive: China hacked eight major computer services firms in years-long attack,” Reuters, June 26, 2019, https://www.reuters.com/article/us-china-cyber-cloudhopper-companies-exc/exclusive-china-hacked-eight-major-computer-services-firms-in-years-long-attack-idUSKCN1TR1D4,被入侵的業者包括Hewlett Packard Enterprise、IBM、Fujitsu、Tata Consultancy Services、NTT Data、Dimension Data、Computer Sciences Corporation以及DXC Technology。
[2] Ari Rabinovitch and Tova Cohen, “Hackers steal data from telcos in espionage campaign: cyber firm,” Reuters, June 25, 2019, https://www.reuters.com/article/us-cyber-telecoms-cybereason/hackers-steal-data-from-telcos-in-espionage-campaign-cyber-firm-idUSKCN1TQ0BC
[3] Jack Stubbs, Joseph Menn and Christopher Bing, “Inside the West’s failed fight against China’s ‘Cloud Hopper’ hackers,” Reuters, June 26, 2019, https://www.reuters.com/investigates/special-report/china-cyber-cloudhopper/
[4] Zak Doffman, “China’s Hackers Accused Of ‘Mass-Scale Espionage’ Attack On Global Cellular Networks,” Forbes, June 25, 2019, https://www.forbes.com/sites/zakdoffman/2019/06/25/chinese-government-suspected-of-major-hack-on-10-global-phone-companies-reports/#30dbc95232da
[5] Zack Whittaker, “Hackers are stealing years of call records from hacked cell networks,” TechCrunch, June 25, 2019, https://techcrunch.com/2019/06/24/hackers-cell-networks-call-records-theft/