2013年7月31日 星期三

世界網戰一級戰區:APT 攻擊一波波看似守也守不住!台灣受駭了嗎?

世界網戰一級戰區:APT 攻擊一波波看似守也守不住!台灣受駭了嗎?


「HITCON」,Hacks in Taiwan Conference  台灣駭客年會,是台灣最大的資安研討會。今年第 9 屆台灣駭客年會主題是「Cyber War」。因為這個這場戰爭愈打愈激烈,偏偏還有很多人還沒意識到烽火早已燃起,大多數的人更不知道自己身處一級戰區,成為「受駭者」。

我們曾在會前寫了一篇報導,試圖挑起大家的危機意識,請見:〈無聲的世界網戰正在開打,想了解全球戰情請看「2013 台灣駭客年會」〉。

第 9 屆屆台灣駭客年會上,來自全球資安領域的駭客專家齊聚一堂,全球 Cyber War 戰情究竟如何?無聲的世界網戰,在我們看不見也聽不到的狀況下,劇烈開打。剛結束的駭客年會上,來自全球的資安專家說,台灣就在一級戰區內,面對嚴厲的攻勢,台灣的防禦戰力如何?


從政府機關到一般企業全都受駭,台灣是 CyberWar 的前線戰區
來自盧森堡、一手打造 malware.lu 惡意軟體知識庫的知名資安研究者 Paul Rascagnere ,在本屆年會上分享他追蹤一個被稱為「APT1」駭客組織的研究結果,在眾多「APT1」的受駭名單中,赫見不少台灣公司。

在 Paul Rascagnere 公布的受駭名單上,「tecom.com.tw」、「ZyXEL.com」、「nkmu.edu.tw」……都上榜(見 HITCON 公開資料 P.39),眼尖的資安人員立刻發現,受駭名單上有許多是台灣電信設備商,其中一家公司甚至跟軍方有合約,一旦駭客竊取到他們公司的技術文件,就有可能找到漏洞,利用漏洞攻擊使用該設備的軍方單位。

不只 Paul Rascagnere 的研究,本土資安專家的研究資料也顯示,台灣政府確實曝露在 CyberWar 中最常見的 APT 攻擊之下。

由中研院計算機中心資安組組長和台灣資安研究公司 Xecure Lab 共同報告的「APT 網際飛梭:從自動化分析到拆解 APT 後台駭客活動」,也揭露了一個被稱為「APT 101」的駭客族群的活動,而台灣就是他們的主要攻擊目標。

根據這份研究,「APT 101」相當有組織,每個發出去的惡意程式都要經過「編碼」,也因此我們可以透過分析編碼,看出他們的目標對象。舉其中一個編碼為「UX-ZD1023-MXXXXXB」的惡意程式為例,ZD 是這個惡意程式的名稱、1023 是製造的時間、MXXXXXB 就是受害者的代號,而這正好是台灣一個政府部會的縮寫。(按:XXXXX 為馬賽克,因為不希望大家把重點放在該單位上,欲知詳情可洽其他參與活動的駭客們)

「APT 101」最早在 2007 年就有活動記錄,而根據 Xecure Lab 在近兩年內的蒐集到的資料,「APT 101」至少控制超過 5800 台電腦、分布在 30 幾個國家,光是台灣至少就有 3037 台 ,而美國有 225 台、南韓有 82 台,另外有 2038 台無法確定是不是台灣。

既然台灣是駭客鎖定的對象之一,我不禁擔心,「台灣守得住嗎?該不會我們的資料都被人家看光光了吧?」

連問幾個駭客、資安人員,有人笑而不答;有人神秘的笑了笑,反問「你說呢?」;有人保守的跟我說,「我們沒有證據,而被駭的人也不可能承認被駭,但依照我們的研究發現,應該是這樣啦。」

你不能不知道的 Cyber War 作戰手法:APT 攻擊
不過,政府機關和企業裡,多有自己的網管,電腦中也有安裝防毒軟體,小公司和個人的電腦中也有防毒軟體,為什麼還會被駭客入侵?

明槍易躲、暗箭難防。Cyber War 中最恐怖、最嚴重的攻擊手法,「APT」,就屬於暗箭的那一種。

APT,Advanced Persistent Threat,中文譯作「進階持續性滲透攻擊」。採用 APT 攻擊型態的駭客族群具有絕對的針對性,而他的目的通常都是偷走目標對象的資料。因此,駭客一旦鎖定了攻擊目標,就會無所不用其極的攻擊,而且是持久戰,一天、一個月、一年都跟你耗;他也會使用極為輕巧的手法,讓你很難察覺自己被攻擊,甚至被攻破了。

韓國數家銀行、保險公司及電視台被駭的 320 事件;年初 Evernote、Twitter、Facebook、Apple 以及 Microsoft 等多家知名科技公司被駭;5 月初台灣政府公務機關的電子公文交換系統(eClient)被駭,這幾起重大的駭客攻擊事件,駭客用的都是 APT 攻擊型態。

APT 攻擊型態三步驟:攻擊、控制、擴散
因為發動這類攻擊的駭客目的是偷取資料,所以攻擊模式不是大張旗鼓的打進來、癱瘓網站,相反地,APT 攻擊講究靜悄悄,躡手躡腳的偷取資料。常見的攻擊方式有這三種:

(1)釣魚網站。吸引你點進去夾帶惡意程式的網站,例如「清涼比基尼辣妹交友網站,18 禁!」、「真相揭露,被黑掉的影片還原了!」。

在你頭腦不清醒、受不了誘惑、好奇心過勝時,游標就會不由自主的移過去、點下,惡意程式也就不費吹灰之力的安裝進你的電腦裡。

(2)惡意社交郵件。這是 APT 攻擊型態中最常見的手法,駭客會分析你的背景和社交取向,量身訂做看起來就是要寄給你的郵件及附檔,但檔案中暗藏惡意程式。

暗藏惡意程式的附檔並不是我們早就知道該提防的 exe 檔,rar、PDF、word 檔都有可能,一位中研院研究員就分享他收到的「2013 國科會專題計畫補助合約書.pdf」,看到這封郵件、這份附檔,哪個研究員會不想點開?點開之後,真的會有一個看似正常的檔案被開啟,然而在此同時同時,惡意程式也就安裝進電腦裡。

(3)水坑式攻擊。公司防禦做得不錯,算你厲害,但駭客還能埋伏在你常去的網站,等你自己掉進來。

駭客會利用網站漏洞,在其伺服器植入惡意程式,等你連上該網站後,你照樣能瀏覽,但惡意程式已經自動下載並安裝進電腦裡了。這個作法最難防,今年初,Facebook 就因為員工去逛 iOS 開發者網站 iPhoneDevSDK 而受駭。

在駭客成功攻進電腦後,他會在電腦中植入惡意程式、後門程式,讓你的電腦連上駭客使用的命令與控制伺服器(C&C Server),以便能長期潛伏在你的電腦中,竊取你的資料;他也會竊取你的帳號密碼,輕鬆登入公司系統。到了這一步,他的耐心還沒用完,他還要透過內網,持續進攻、滲透其他台電腦,一步步取得最高權限、最機密的資料。

病毒會偽裝、會互相幫助,殺也殺不完
除了進攻的方法千奇百怪之外,惡意程式潛伏的功力和集團管理模式,也打趴多數防毒軟體。

發動 APT 攻擊型態的組織,也擅於把惡意程式偽裝得不讓人察覺,曾經有駭客利用 Adobe Flash 的弱點夾帶惡意程式,並夾在信件附檔中寄發出去,結果經資安公司測試,42 家防毒軟體業者中,只有 6、7 家偵測出來信件中的附檔帶有惡意程式

APT 攻擊難防的其中一原因是,當駭客攻進受駭者的網路之後,會在內網組成一個「集團」來管理,如果有一台電腦中的惡意程式因為執行不正常的動作,例如回傳檔案給 C&C Server 而被防毒軟體查殺,那麼集團內的其他電腦會再把惡意程式安裝到那台電腦裡;又或者,駭客會在一台電腦中安裝多個惡意軟體,當防毒軟體查殺其中一個,剩餘的惡意軟體會自己連上 C&C Server 下載、補齊。

手法不斷翻新,這種長久戰、心理戰,具有千變萬化手法的 APT 攻擊型態,真的防不勝防。駭客年會總召蔡松廷(駭客圈中人稱他「TT」)就說,「你現在都沒漏洞、打不進去沒關係,但我不放棄,因為你是我的目標,等到哪天你有了新的伺服器上線,或是有了新的人,那我就打新的伺服器、新的人,搞不好就會有新的漏洞出現。」

要發動長久戰,不是人人玩得起,通常 APT 攻擊型態都是政府所支持的。很多國家、大企業之間早已培養駭客軍團,防禦之外,也互相攻擊,以竊取國防機密、商業機密。

趨勢科技拍了一支影片介紹 APT 攻擊型態,短短五分鐘的影片,會讓你有種在看諜報片的錯覺,但這是真實案例。請看:〈APT 攻擊: 一場沒有中立國的戰爭 (真實案例模擬)〉:


發動戰爭的是誰?台灣是 Cyber War 的前線戰場嗎?
在追蹤「APT1」這個駭客組織時,Paul Rascagnere 有個有意思的發現。「APT1」 發動攻擊的時間通常在星期一到星期六、盧森堡時間凌晨 2 點到早上 10 點。盧森堡時間比中原標準時間晚 6 個小時,因此推算下來,APT1 的攻擊時間是中原標準時間早上 8 點到下午 4 點,也就是上班時間。

有群駭客在標準的「上班時間」發動攻擊,台灣資安研究人員很早以前就發現了,周一到周六,每天都會有很準時的攻擊行為,從早上 8、9 點開始,到了中午吃飯時間就逐漸減少,中午吃飯時間結束後攻擊又開始了,直至 4、5 點下班時間漸漸停歇。

這樣的攻擊行為,很難讓人不去懷疑是我們旁邊、跟我們有著同樣時區的「駭客公務員」,或著是人們常說的「中國網軍」,在發動攻擊。有不願具名的資安人員透露,中國放五一、十一連假時,這波準時的駭客攻擊也會跟著放假。

也有媒體報導,台灣是全球對抗網路攻擊的前線,是中國駭客攻擊美國前的練兵場。只要在台灣看到一個新的網路攻擊手法,六個月後,就會在美國看到同樣的攻擊。台灣受中國網軍攻擊的程度可見一斑。

不過 Paul Rascagnere 說,「APT1」這個駭客組織的 IP 位置確實是來自香港,但他不能肯定就是中國駭客,「也有可能是有人在香港買一個伺服器。」然而在簡報的最後,他加上一句前中共主席毛澤東說的話,「The only real defense is offensive defense.」,最好的防禦,就是進攻。

除了 Paul 看似意有所指的言論,這一屆駭客年會的開場演講,就由任職於美國智庫、國際認可的中國解放軍資訊戰專家 William  Hagestad II 大談中國、俄羅斯和伊朗三個共產國家的「網軍」。他提出許多駭客事件的報導及領導人的發言來證明,中國確實在發展網路國防、間諜及攻擊行為。

William 指出,中國在 1995 年開始打資訊戰,2010 年開始有官方的網路作戰指揮部;他也引用 IT 安全服務商 NCCGROUP 的報告,說明中國是全世界第二大的駭客活動發源地,佔 13.7%。

在另一場演講中,中國頗富盛名的資安專家萬濤則提出反駁看法,「中國駭客只是有心人士炒作下的神話」,那些源自中國的駭客攻擊,都是懷抱著民族主義的「憤怒青年」做出來的個人行為。

他更直咬最近遭爆料的美國國安局監聽通訊計畫,「PRISM」(稜鏡計畫),指美國才是最大的駭客,以為自己是網路的保護者、隨意監控他人。事實上,上述 NCCGROUP 做的駭客活動發源地調查中,第一大駭客活動發源地就是美國,佔 17.55 %。

一位不願具名的資安專家不以為然的表示,中國這麼一個集權主義的共產國家,有可能放任技術高超的駭客在路上滿街跑,不把他們抓來當軍隊用嗎?在美國、歐洲,政府要跟大企業競價,才能招募到優秀的駭客;但在中國不用,國家叫他來他就得來。

APT 世界大戰打得火熱,台灣的網路國防準備好了嗎?
面對暗箭難防的 APT 攻擊型態,Xecure Lab 首席資安研究員邱銘彰(駭客圈中人稱他「Birdman」)說,「APT 行動沒有尾聲,只有更深!APT 防護沒有撇步,只有更強!」

面對來勢洶洶的全球政府與企業單位所組成的網軍勢力,Cyber War 真的天天都在上演,而在戰爭中要比人家更強,是需要國家動員、需要國防戰備武器、需要有受過精實訓練的軍隊、也需要人民隨處於警戒狀態。

台灣準備好了嗎?

圖片來源:Hacks Taiwan 相簿
轉載自《科技橘報》