美國對國家級駭客因應與其意涵


  • 發布日期:2020/05/20

美國對國家級駭客因應與其意涵
網戰資安所 杜貞儀博士後研究
關鍵字:網路攻擊、國家級駭客、網路戰略

美國調查局(FBI)與國土安全部網路安全和基礎設施安全局(CISA)於513日共同發布新聞稿,指出源於中國的駭客試圖竊取美國研究單位的新型冠狀肺炎疾病(COVID-19)疫苗開發相關資料。無獨有偶,512FBICISA與國防部聯合發布三份惡意軟體分析報告,提供北韓政府駭客使用的惡意軟體技術細節。此二事件不僅展現美國有效掌握情報,也可由對各國之不同因應作為研判可能發展,以下試分析之。

釋放訊息作為談判施壓起手式,建立制裁正當性

將網路攻擊歸因於國家級駭客,須整合多種情報來源,為避免打草驚蛇並收集更多資訊,通常會選擇性釋放訊息以展現其在情報上的掌握。由往例觀察,公開指責中國網路攻擊行為,可能仍有一定成效,因此美國掌握相當證據後,將逐步釋放訊息以對中施壓達成協議,或作為進一步談判的籌碼。歐巴馬總統任內,曾於2015925日習近平訪美之際,美中雙方達成協議,承諾避免從事或支持網路間諜行為。但其布局據信可追溯至20145月,美國首次以刑事起訴中國解放軍61398部隊五名成員竊取美國企業的商業機密,並透過媒體指責中國所支持之眾多針對美國的攻擊事件,最後則是歐巴馬總統公開譴責,藉由不斷對中施壓而達成目的。
不過此狀況自2018年始已有相當變化,2020年至今,美中貿易戰及COVID-19疫情持續升溫,美國亟欲在貿易協議取得優勢並追究中國對疫情擴散的責任。FBI已於220日對中國解放軍第54所四名成員就2017年竊取Equifax信用資料發布通緝,而在本次FBICISA警告中國欲竊取疫苗開發資料的同日,川普總統的盟友、美國共和黨參議員葛萊漢(Lindsay Graham)也提出《COVID-19問責法》(COVID-19 Accountability Act)草案,若中國不配合進行調查,將授權總統進行制裁。因此亦可預期美國政府將會持續釋放中國網路攻擊訊息,以建立制裁正當性。
      雖然CISA與英國國家網路安全中心(NCSC55日共同發布針對醫療機構的網路攻擊警告中,並未指名特定國家,卻對伊朗慣用的攻擊手法提出防範建議,顯示可能已掌握伊朗參與的情報。媒體亦披露伊朗曾攻擊肺炎特效藥生產者美國吉利德藥廠(Gilead)及世界衛生組織(WHO)。美伊間衝突與矛盾持續惡化,目前美國意圖達成的首要目標,應是設法透過聯合國安理會無限期延長對伊朗武器禁運,故釋放訊息指責伊朗網路攻擊,可能亦屬建立正當性的一環,但美國對伊朗仍有更多控制衝突升高的選項。

利誘並拉高進行網路攻擊成本

就情報而言,北韓屬困難目標(hard target),經多年追查,美國曾於20189月正式起訴一名北韓駭客並發布通緝,但成效似乎有限,亦有暴露情報來源的風險。由於北韓網路攻擊多半針對金融機構,進行洗錢或竊取加密貨幣,以資助其發展核武,美國國務院、財政部、國土安全部與FBI415日就北韓威脅提出警告,其中由國務院「正義懸賞計畫」(Reward for Justice Program)針對北韓網路攻擊情報提供最高五百萬美元的獎勵,亦是首次以利誘方式蒐集相關情報。
CISA並於512日與FBI及國防部共同發布惡意軟體分析報告,再由網戰司令部於惡意軟體分享平台VirusTotal分享5個源於北韓的新樣本,更進一步表示過去曾分享的樣本內,共有21個源於北韓。這顯示美國已逐漸透過公開北韓國家級駭客使用惡意軟體之技術細節,使各方能針對漏洞防禦,迫使北韓駭客需開發新攻擊組合,拉高其進行網路攻擊的成本,藉此遏止攻擊行為。