從近期國際資安事件看中共網路威脅趨勢
2021.05.14
瀏覽數
274
壹、新聞重點
根據日媒《NHK》2021年4月20日報導,日本宇宙航空研究開發機構(JAXA)及防衛關聯企業,2016年曾遭受中國駭客組織大規模網路攻擊,受害企業跟機構達200多家,搜證後疑為中國人民解放軍授意進行。[1]2021年3月初微軟爆發郵件伺服器軟體遭到中國駭客團體利用4項零時差漏洞進行攻擊;從3月2日微軟公告漏洞修補起算,短短三天內美國境內至少超過3萬家組織遭駭,[2]美國國土安全部網路安全和基礎建設安全局(CISA)於3月3日及31日兩度發布緊急指令,要求運行中或委外代管Exchange Server的單位全系統掃描有無惡意程式及攻擊活動,可見此攻擊事件事態之嚴重性。[3]
有鑑於近年來中共資助的駭客團體活動頻繁(見附表),不僅被美國評估為科技競爭力最大威脅,亦對世界各國持續發動網路攻擊及網路間諜等行為,意圖竊取各領域機敏資訊並影響民生經濟穩定。[4]面對中共霸權野心及網軍一波波的戰略性網路襲擊,實有必要檢視其網路威脅趨勢,以掌握未來攻擊前兆提早預警應變。
貳、安全意涵
一、透過駭客團體對外遂行網攻與竊密
中共透過網絡間諜活動竊取智慧財產權、商業機密以及核心關鍵技術,加速發展現代產業,強化國家戰略科技力量。2021年3月中國駭客組織Hafnium透過微軟Exchange Server四項零時差漏洞,鎖定目標攻擊,企圖獲取美國政府及企業相關機敏資料。此外,面對與其國家利益衝突的國家或組織,中共使用客製化惡意軟體及入侵手段,提高攻擊頻次或影響民情輿論,樹立社會主義發展的強國強軍形象。2020年6月澳洲總理莫里森( Scott Morrison) 表示,澳洲數月來遭遇「國家級」駭客發動大規模網路攻擊,政府和民間企業都是被鎖定的目標,幕後黑手直指中共所為。[5]
中共更透過網路滲透並攻擊國家關鍵資訊基礎設施,藉以警告恫嚇、動搖民心、破壞穩定。2020年10月中國駭客組織RedEcho攻擊印度電網,導致孟買大停電。[6]
二、駭客團體協同作業場域練兵
中共解放軍1999 年就已經開始組建「信息戰士」,初期僅限於解放軍內部人員,近年來積極招募民間人才組建網路民兵,強化整體網路戰力的質與量;自2005年起中共便開始針對美國不同產業進行進階持續性滲透攻擊(Advanced Persistent Threat, APT),如61398便是隸屬軍改前解放軍總參三部的網軍部隊;2015年成立戰略支援部隊(Strategic Support Force, SSF),從事網路、電子及心理戰等作戰任務,然而黨、政、軍不同部門也有網軍與情報單位,各自執行上級交付的網路任務。
中共各路網軍近年配合國家戰略需求將攻擊目標變得更機動、更具侵略性,以2020年5月我國中油遭到勒索病毒攻擊事件為例,客製化惡意程式、精心設計潛伏部署、大規模滲透攻擊、自殺式引爆癱瘓服務、520總統就職前夕觸發,調查局研析整起事件與中共駭客組織高度相關,其目的在全面且持續掌控台灣關鍵基礎設施,展示其關鍵時刻癱瘓我民生服務引起恐慌之能力,而非向企業勒索錢財,網路練兵與警告意味濃厚。[7]
參、趨勢研判
一、因技術引進受阻可能加速網路竊密行動
為實現《十四五》各項戰略目標,中共加快人工智能、量子運算、半導體、醫療生技、太空科技、航太工業、新能源汽車等基礎核心領域技術發展,這意味著中共後續如因親美各國抵制,用錢買不到人及技術,也無力自主研發,那麼從網路空間進行資料竊取,轉化成中國式新創技術將是最具效益的發展方式;近來美國、日本、荷蘭、澳洲、加拿大陸續揭露中國網路威脅資訊,研判中共網軍部隊已任務分工並加速進行網路間諜與竊密行動。
二、恐增強供應鏈攻擊頻次以影響對手產業發展進程
因應美國對中國的高階技術出口實體管制措施,中共可能的反制作為即是委由駭客團體鎖定各國重要軟、硬體製造商,從源頭程式碼、服務平臺或委外廠商進行駭侵,利用受信任的管道造成大範圍的擴散與感染,搭配勒索病毒進行恐嚇取財,一方面破壞產業供應鏈的信任與營運,延遲對手科技發展進程,另方面企圖重新建構供應鏈標準與程序,取得經濟與技術競爭優勢。
附表、資安業者研析中共網軍攻擊趨勢
網軍駐地 |
APT Group |
產業\領域 |
國家\區域 |
東部戰區 |
APT1(61398)、APT2(61486)、APT19、APT26、APT18 |
政府機關、國防科技、5G通信、太空技術、能源、金融、研究、智庫、非營利組織 |
美國、歐洲、日本、台灣、澳洲、東亞地區、 |
南部戰區 |
APT3、APT30、APT40 |
地緣政治情報、國防工業、衛星通信、交通運輸、海事工程、人權爭議 |
一帶一路倡議國家、APEC組織、東協國家 |
西部戰區 |
APT41 (Winnti Group) |
醫療生技、高科技產業、供應鏈、國家基礎設施、遊戲產業、主權爭議、民主抗爭 |
美國、印度、香港、台灣、澳洲、歐洲地區 |
北部戰區 |
Tonto Team |
政府機關、軍事情報、媒體機構、主權爭議 |
韓國、俄羅斯、日本、蒙古、印度 |
中部戰區 |
APT10、BlackTech |
政府機關、航太科技、汽車工業、製藥廠、重工業 |
美國、日本、南韓、台灣 |
資料來源:洪嘉齡整理自MITRE ATT&CK®、FireEye、IntSights、CrowdStrike等公開資料。
[1] 〈針對JAXA等網路攻擊疑在中國軍方授意下進行〉,《NHK WORLD》,2021年4月20日,https://www3.nhk.or.jp/nhkworld/zt/news/295247/。
[2] Kate Conger and Sheera Frenkel, “Thousands of Microsoft Customers May Have Been Victims of Hack Tied to China,” The New York Times, March 6, 2021, https://www.nytimes.com/2021/03/06/technology/microsoft-hack-china.html.
[3] “Emergency Directive 21-02:Mitigate Microsoft Exchange On-Premises Product Vulnerabilities,” U.S. Cybersecurity and Infrastructure Security Agency, March 3, 2021, https://cyber.dhs.gov/ed/21-02/.
[4] “Annual Threat Assessment of the U.S. Intelligence Community,” U.S. Office of the Director of National Intelligence, April 9, 2021.
[5] Shaimaa Khalil, “Australia Cyber Attacks: PM Morrison Warns of ‘Sophisticated’ State Hack,” BBC News, June 19, 2020, https://www.bbc.com/news/world-australia-46096768.
[6] “China-Linked Group RedEcho Targets the Indian Power Sector Amid Heightened Border Tensions,” Recorded Future, February 28, 2021, https://www.recordedfuture.com/redecho-targeting-indian-power-sector/.
[7] 翁芊儒,〈調查局完整揭露中油、台塑遭勒索軟體攻擊事件調查結果〉,《iThome》,2020年8月12日,https://www.ithome.com.tw/news/139331。
[8] 〈台灣遭勒索軟體攻擊發生率 高於全球平均1.5倍〉,《中央通訊社》,2020年6月29日,https://www.cna.com.tw/news/ait/202006290276.aspx。