中國駭客團體APT20及APT10 之攻擊手法
2020.01.10
瀏覽數
98
壹、新聞重點
《彭博社》(Bloomberg)於2019年12月19日報導,沉寂數年未有攻擊行動的中國駭客團體Advanced Persistent Threat(APT)20,被發現自2018年起又開始展開活動。《華爾街日報》(Wall Street Journal)也在2019年12月30日公布調查報告,指出另一個中國駭客團體APT10所進行的「雲端跳躍者」(Cloud Hopper)攻擊行動,所涵括的範圍遠比過去所知大上許多。中國駭客團體在世界各地竊取智慧財產權及機敏資料,嚴重影響各國經濟利益與國家安全,然其攻擊手法各有不同,必須加以深入研究。[1]
貳、安全意涵
一、APT20已可破解「雙因素認證」
APT20在2009至2014年間頗為活躍,當時攻擊的目標鎖定世界各國的大學、軍方、以及電信公司。此團體在2014年後消聲匿跡,資安界人士大多認為此團體已經不復存在。然而,荷蘭資訊安全公司「福斯資訊科技」(Fox-IT)發現從2018年開始,APT20又有攻擊行動,共有包括美國、英國、法國、德國、義大利等10個國家受到攻擊,受害的公司涵蓋航空、建築、金融、醫療、保險、能源等產業。
APT20通常利用一家公司網路伺服器上的安全漏洞侵入該公司系統,在入侵之後找到系統管理者,並在其電腦上植入鍵盤監控軟體(keylogger software),記錄鍵盤敲擊以取得密碼。值得注意的是,「福斯資訊科技」發現APT20已經有能力破解使用「虛擬私人網路」(Virtual Private Network, VPN)的「雙因素認證」(two-factor authentication)防駭機制。「雙因素認證」是指除了原本的帳號密碼之外,必須再輸入以RSA SecurID軟體產生的一次性密碼才能登入,且產生密碼的裝置與存取VPN的裝置必須是同一個,藉此程序阻擋駭客入侵。「福斯資訊科技」猜測APT20竊取了RSA SecurID軟體以產生一次性密碼,但其如何繞過VPN的認證目前還不得而知。另外,APT20在竊取資料後會移除其所使用的網路工具,以清除其電子蹤跡。[2]
二、APT10可監控資安防禦
APT10在過去以侵入雲端服務業者竊取其客戶資料的「雲端跳躍者」攻擊行動而惡名昭彰,其中兩名成員在2018年12月被美國司法部(Department of Justice)起訴。《華爾街日報》此次的調查報告發現,APT10攻擊的對象遠比過去所知為多,至少有12個世界各國的雲端服務業者受害,過去未被揭露的包括加拿大的CGI Group Inc.、芬蘭的Tieto Oyj、以及美國的IBM,皆為該國最大或是最主要的業者。被竊取資料的公司則有美國航空(American Airlines Group Inc.)、德意志銀行(Deutsche Bank AG)、安聯金融集團(Allianz SE)等超過100家世界知名企業。
APT10的攻擊分工細密,先由一組人以釣魚郵件(phishing email)竊取雲端服務業者具管理權限人員的帳號密碼,接著由第二組人在攻擊發動前確認帳號密碼仍然有效,最後再由第三組人竊取資料。「雲端跳躍者」的攻擊手法由於是從雲端竊取客戶資料,看起來像是正常流量,因而難以偵測。APT10最厲害之處在於,其還能取得雲端服務業者資安防護團隊的權限,監控該團隊的一舉一動,若是資安團隊發現入侵並採取行動因應,APT10會立刻察覺並重新入侵。《華爾街日報》透露,從2019年4月至11月中旬,全球尚有數千個IP位置將資料傳送回APT10的網路系統。[3]
參、趨勢研判
一、西方國家政府與業者將加強反制APT10
雲端服務業者起初並不願意將中國駭客入侵的細節透露給客戶以及政府部門,以免影響聲譽以及商業利益。但由於APT10為害甚烈,在西方國家政府施加壓力甚至修改合約後,雲端服務業者開始與政府合作,採取反制措施以對抗APT10。
反制手法之一是在雲端服務業者的系統中加入假造的資安主管行事曆,讓駭客以為主管正常休假,沒有發現系統被入侵。然後,資安防護團隊在APT10不會發動攻擊的時段迅速取消其權限、關閉其所使用的帳號、以及隔離其藉以進入系統的伺服器。[4] 可以預期,在APT10持續肆虐全球的情況下,西方國家的政府與雲端服務業者將會加強合作對其反制,甚至會有更多國家訴諸司法手段將其成員起訴。
二、網路竊盜議題或將納入美中第二階段協議
美國與中國將於2020年1月15日簽署第一階段協議。此階段先處理強制技術轉讓以及匯率操縱,尚未觸及中國駭客網路竊盜的議題。由於美國政府有眾多部門使用雲端服務,如聯邦總務署(General Service Administration)、內政部(Department of the Interior)、以及軍方皆是IBM的客戶,且美國海軍被爆出超過10萬名人員的個資已經被APT10竊取,[5] 中國駭客已然成為美國國家安全的一大威脅。據此可以研判,網路竊盜議題將會是美中第二階段談判角力的焦點,雖然簽訂協議未必能有效阻止中國駭客的竊盜行為,但將此議題納入協議會有助於未來制裁中國駭客團體。
[1]Ryan Gallagher, “Chinese Hacking Group, Quiet for Years, Resumes Global Attacks,” Bloomberg, December 19, 2019, https://www.bloomberg.com/news/articles/2019-12-19/quiet-for-years-chinese-hacking-group-resumes-global-attacks; Rob Barry and Dustin Volz, “Ghosts in the Clouds: Inside China’s Major Corporate Hack,” Wall Street Journal, December 30, 2019, https://tinyurl.com/sf347lx.
[2]Ryan Gallagher, op. cit.; 陳曉莉,〈中國駭客集團APT20已破解2FA認證〉,iThome,2019年12月25日,https://tinyurl.com/sp2reqk。
[3]Rob Barry and Dustin Volz, op.cit.; Bhaswati Guha Majumder, “Cyber threat of 2019: China backed hackers steal huge amount of US official data,” International Business Times, December 31, 2019, https://www.ibtimes.sg/cyber-threat-2019-china-backed-hackers-steal-huge-amount-us-official-data-36879.
[4]Rob Barry and Dustin Volz, op.cit.
[5]Bhaswati Guha Majumder, op.cit.