中國駭客組織APT41的網路間諜與犯罪行為
2019.08.16
瀏覽數
145
壹、新聞重點
2019年8月7日,美國網路安全公司「火眼」(FireEye)發布研究報告,指出由中國政府支持的駭客組織APT41(Advanced Persistent Threat 41)從2012年開始,在14個國家進行網路間諜行為,目標橫跨醫療保健、高科技、電信、旅遊服務、媒體、能源、高等教育等各種產業。除竊取資料外,該組織成員還會在下班時間從事網路犯罪以牟取私利。由於APT41的攻擊手法及行為模式與目前已知的其他中國駭客組織大相逕庭,「火眼」公司的報告因而引起資安人士密切關注。[1]
貳、安全意涵
一、APT41的供應鏈滲透難以防範
APT41有一項特殊的攻擊手法是所謂的「供應鏈滲透」(supply chain compromise),該手法是入侵科技公司後,在該公司要提供給客戶的電腦檔案中植入惡意程式,當客戶安裝該檔案時就會感染。在此過程中,APT41會先竊取數位簽章(digital certificates),因此這些被動過手腳的檔案都是經過簽證的。由於這些檔案可能是執行業務所必須,或是原有軟體的更新或升級;其來源是原製造商,又有數位簽章。因此,客戶不會產生懷疑,防毒軟體也抓不到,這樣的攻擊手法讓下游的客戶難以防範。[2]
「供應鏈滲透」的一個著名例子發生在2019年3月,台灣電腦業者華碩(ASUS)在提供客戶軟體更新時,造成該廠牌超過一百萬台電腦感染病毒,此事件即是出自APT41之手。「火眼」公司指出,在此次事件中,APT41鎖定的其實只是少數幾家電信公司,要讓這些公司的電腦中毒後再做進一步攻擊。[3]
二、APT41進行反間諜工作
APT41一如其他中國駭客組織,主要的工作在於侵入關鍵產業的龍頭廠商竊取機密,以協助中國發展科技並蒐集情報。不過,當APT41侵入電信公司及旅遊服務業者時,其任務又有別於其他中國駭客組織。當其他組織如APT10進行此類攻擊時,目的是為了蒐集特定個人的資訊以獲取情報,而APT41則是在執行偵察任務。「火眼」公司發現,APT41會在中國高級官員出訪外國之前,先侵入要入住的飯店預約系統瞭解當時還有哪些旅客,是否有可疑人士;並確認飯店其他系統是否安全,以防止洩密。「火眼」公司的研究人員指出,APT41是在進行反間諜(counter-espionage)的工作。[4]
三、APT41成員兼差從事網路犯罪
APT41還有一項特殊之處,就是該組織成員會在下班時間從事網路犯罪,以賺取外快。「火眼」公司發現,APT41在近幾年來持續攻擊電玩廠商與加密貨幣業者,其手法是侵入一款遊戲的製作環境後,取得權限去生產在該款遊戲中所使用的虛擬貨幣,分配給自己設立的假帳號,再到黑市中換取現金。「火眼」公司提到一個例子,APT41在一次攻擊行動中,僅花三小時就製造出市值高達30萬美金的虛擬貨幣。更有甚者,若是APT41對該次犯罪所得不滿意,還會再植入惡意軟體進行勒索。[5]
「火眼」公司分析指出,APT41攻擊電玩廠商的時間,主要落在晚上六點至清晨六點之間,因此認為這是APT41在下班時間的兼差。但不尋常的是當APT41進行私人網路犯罪時,仍然會使用專門用來幫國家進行網路間諜行為的工具及軟體,這種「公器私用」以牟取私人利益的行為,在中國駭客組織當中是前所未見的。
參、趨勢研判
一、APT41的網路間諜行為將持續擴張
APT41的活動最早可追溯自2012年,在這七年當中,其網路攻擊的能力及範圍一直在增加,不但攻擊的產業愈來愈多元,已經橫跨15種產業;在地理區域上也不斷擴展,甚至進入非洲國家。「火眼」公司以為,在中國政府這幾年來的人事變動與組織調整之下,APT41還能持續保持活躍,這在中國駭客組織當中相當罕見。另一方面,從APT41肩負偵察及反間諜的任務來看,這個組織顯然受到中共高層相當程度的信任。因此我們可以預期,APT41的網路間諜行為在未來將會持續進行並擴大,對各國構成重大威脅。
二、APT41的網路犯罪是否持續有待觀察
APT41在下班時間進行網路犯罪的行徑,其上級單位是否知情,目前仍然是個謎。然而,由於該組織在賺外快時使用網路間諜的特有工具,在「火眼」公司將此「公器私用」的情況予以披露以後,APT41未來的網路犯罪行為可能會受到影響。
由於駭客的網路工具以及攻擊手法一經使用就會被對手或資安業者研究,如果使用過於浮濫,很容易遭到破解甚至被對手「以彼之道,還施彼身」,因此,駭客在使用網路工具時必須謹慎。APT41公私不分的使用方式最後可能會「以私害公」,影響到網路間諜的主要工作。若是其上級單位對此行徑原本就知情且同意,APT41的網路犯罪行為就會繼續下去;若是上級單位原本被蒙在鼓裡,「火眼」公司揭發此事可能導致APT41無法繼續從事網路犯罪。
[1] Nalani Fraser, et al., “APT41: A Dual Espionage and Cyber Crime Operation,” FireEye, August 7, 2019, https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html.
[2] Patrick Howell O’Neill, “China’s cyber-spies make money on the side by hacking video games,” MIT Technology Review, August 7, 2019, https://www.technologyreview.com/f/614088/chinese-hackers-do-double-duty-operations-for-espionage-and-profit/; Nalani Fraser, et al., “APT41: A Dual Espionage and Cyber Crime Operation.”
[3] Joseph Menn, Jack Stubbs, and Christopher Bing, “Chinese government hackers suspected of moonlighting for profit,” Reuters, August 7, 2019, https://www.reuters.com/article/us-china-cyber-moonlighters/chinese-government-hackers-suspected-of-moonlighting-for-profit-idUSKCN1UX1JE.
[4] Cybereason Nocturnus, “Operation Soft Cell: A Worldwide Campaign Against Telecommunications Providers,” Cybereason, June 25, 2019, https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers; Zak Doffman, “Spies By Day, Thieves By Night—China’s Hackers Using Espionage Tools For Personal Gain: Report,” Forbes, August 7, 2019,https://www.forbes.com/sites/zakdoffman/2019/08/07/chinese-state-hackers-attack-video-games-and-cryptocurrencies-for-after-hours-personal-gain/#3bcf9e2b2eb2.
[5] Josh Taylor, “Chinese cyberhackers ‘blurring line between state power and crime’,” Guardian, August 8, 2019, https://www.theguardian.com/technology/2019/aug/08/chinese-cyberhackers-blurring-line-between-state-power-and.