史上中國網軍最強養成法,台灣竟然是熱門試煉場


70-800

網路的世界裡,明槍易躲、暗箭難防;行政院副院長張善政曾透露,中國網軍是一群會上下班、也會從民間徵召好手的正規軍。專家表示,不按牌理出牌的駭客,製作出的病毒最厲害。

文/郭庭昱

「巡遊五角大廈,登錄克里姆林宮,進出全世界所有電腦系統,摧毀金融秩序,建立新的世界格局,誰也阻擋不了,我們才是世界的主宰。」──「世界頭號駭客」、美國第一位網路少年犯凱文.米特尼克(Kevin David Mitnick),二十年前這樣說。

雖然很像、但這不是電影《不可能的任務》,現在,「駭客統治地球」正真實地上演。

中國駭客直搗美國政府,國家機密遭竊也只能乾瞪眼

6 月 4 日,美國國土安全部證實人事管理局(OPM)遭駭客入侵,至少 400 萬名現任及離職公務員的個人資料被竊,規模為近年最大,受害的範圍也在擴大當中。OPM 相當於聯邦政府的人事部門,握有雇員的背景資料。駭客可以拿這些個資假扮成聯邦雇員,向同事發出釣魚郵件,埋下病毒後,藉此入侵其他部門竊取資料,威脅美國安全 ,網路安全公司 Xceedium 高層表示,「這是對國家的攻擊」。另一方面,雇員的個資也可能被拿來詐騙、勒索之用。

《華盛頓郵報》、《紐約時報》皆指出,中國是事件幕後黑手,中國外交部則反擊,這種說法不負責又沒有建設性。無論如何,這都是中、美在駭客角力過程的插曲之一。今年 2 月,美國國防部情報局局長 Vincent Stewart 在眾議院作證時指出,中國駭客已從美國國防承包商偷走許多資料,而且還在持續進行中。 就在 1 月分,美國國家安全局前雇員史諾登爆料,洛克希德馬丁公司設計的多功能隱形戰鬥機 F-35「閃電二型」,機密遭中國竊取;這與軍事專家指出,中國幾款戰鬥機和 F-35「連外觀都很像」的說法不謀而合。

美、中之間頻頻因為駭客問題交鋒,兩岸關係一向敏感,台灣有可能置身事外嗎?今年初,行政院副院長、國家資通安全會報召集人張善政就明講,中國網軍把台灣當作網路攻擊的試驗場,府院、外交部、經濟部、國發會都是最愛攻擊對象,「台灣平均每年 300 多件資安事件,攻擊來源大部分來自中國。」

「駭客」犯人不在現場,也是成本最低、效益最大武器,根本就是「兵不血刃」。即使美國司法部去年起訴五名中國軍官,在網路上公布照片,指控他們竊取核能、太陽能商業機密,實際上,只要他們不去美國,不太可能被捕,而且沒有證據,最後也沒辦法定罪。

中國網軍不按牌理出牌,培養學生部隊攻擊手法詭異

在網路的世界裡,明槍易躲、暗箭難防;張善政曾透露,中國網軍是一群會上下班、也會從民間徵召好手的正規軍。專家表示,不按牌理出牌的駭客,製作出的病毒最厲害。

一位曾赴中國交流資安議題的台灣專家,參訪行程結束後實在很好奇,頂尖駭客到底如何養成?長相如何?透過關係,他進入「祕密基地」參觀,「那些人就 10 多歲,流著鼻涕沒擦的、理個光頭、講話會抓頭髮的都有」,原來 駭客探子專門去中學、高中,找那種有天分的、怪怪的孩子,他們也不用上課了,就丟幾本網路入門的書給他們,這些人沒有傳統理論的包袱,製作出來的病毒都是一般人想不到的,因而順利侵入各類機關。

也因此,在台灣遭遇很多新型的網路攻擊手法都是全球首見,是歐美眼中重要的研究資源,經常有專家來此交流。台灣知名駭客「鳥人」有句名言:「誰說台灣沒有天然資源?台灣最大的天然資源就是病毒樣本!

趨勢科技是老牌資安企業,2 年來已調查 100 多家企業、政府單位,長達 1 萬多小時的調查顯示,除了頻繁的被攻擊,回溯駭客入侵的時間,平均都超過 200 天,這代表駭客並不想立刻癱瘓電腦,而是在潛伏期間不斷的竊取、更新資料,監控資料的演變。從另一個角度想,有能力聘請趨勢科技進行調查的企業,應該都是中大型、或說是重要的企業。

「台灣受害滿嚴重的!」趨勢科技台灣區總經理洪偉淦直言,他解釋,來自對岸一種是國家級網軍,除了想了解整體的國力,還包括民間企業的機密,軍事戰爭的範圍超過以往,會掌握更多政治、軍事、商業、科技的機密。

近年頻頻在國際駭客比賽得獎的台灣駭客年會(HITCON),總召 TT 分析, 駭客大概有三類 ,一種是以賺錢為目標,例如竊取個資出售,或者植入病毒控制電腦,再整批把殭屍電腦賣給發動攻擊的駭客;第二種是以情報和敏感機密為目標,例如常聽到的 APT(進階持續性滲透威脅)但此類受害單位通常低調,不願公開;最後就是高調的 Hacktivist(駭客行動主義),像是曾攻擊臉書、推特的「蜥蜴部隊」。

拋棄式惡意程式橫行,只會看到一次防毒難度破表

這些年來,駭客的形態已經大大轉變。過去多是單槍匹馬、想炫技、想出名的駭客;現在變得組織化,為了賺錢或特定目的,行動更低調,原則是「偷偷掌握、慢慢送」(Slow and Low),低調的攻擊,被駭的對象都是忽然發現不對勁,才發現就已措手不及。

好比在 2013 年,敘利亞電子軍駭入美聯社(AP),從推特發布白宮遭受恐怖攻擊的假消息,雖然從推文到證實是假消息只有 3 分鐘,但恐慌指數 VIX 驟升 9%,美股重挫 1%,市值蒸發 2000 億美元,堪稱是「閃電犯罪」,錯殺股票也是求償無門;還有南韓曾發生「黑色首爾」事件,電視台、銀行 ATM、網路銀行瞬間停擺,股市大跌,政府將這次攻擊視為國家級的戰爭行為,指向由北韓發動。

駭客攻擊的受害程度不斷拉高,最重要的原因是, 現在 80%的惡意程式,全世界只會看到一次,沒有第二次,稱之為「拋棄式的惡意程式」,完全打破過去防毒程式的原則:中毒才依照特徵去預防。美國知名資安公司 FireEye 技術經理林秉忠指出,拋棄式惡意程式就是「好做、難防」。

對於企業而言,電腦系統被侵入,除了自身的機密被偷,洩露消費者的個資,更將令商譽受損,美國零售業者 Target 外流了 1.1 億筆個資,業績滑落,股價大跌,不到 1 年,連執行長都下台。卡巴斯基的調查報告顯示,過去 2 年有 100 多家金融機構遭駭客入侵,總共被打劫了 10 億美元,相當於台幣 300 億元,其手法包括不法轉帳,或者是竄改帳戶餘額等。

目標式攻擊潛伏 200 天,有計畫有組織由外向內滲透

在台灣,政府遭駭首當其衝,行政院資安會報統計顯示,台灣各級政府部門遭受攻擊的高峰期,多與兩岸關係議題相關,例如○九年 ECFA(兩岸經濟協議)簽署前後,或者一四年 3 月太陽花學運,去年底九合一大選前夕等,就連總統就職、中國十月長假,都是被駭的高峰。專家推測,這可能和中國網軍想提前知道台灣的總統就職、國慶演說的內容有關。

中國網軍也會利用重大事件,例如頂新假油、高雄氣爆、食安等民生議題,製作以假亂真的釣魚郵件,引誘公務員點擊,在電腦埋下後門,惡意程式一步一步地爬進來,大都是從不起眼的小單位,或者是政府業務的外圍承包商,沒有資安意識,或者根本沒有預算,最容易成為駭客的灘頭堡。

洪偉淦解釋, 這稱為目標式駭客攻擊,是一種 circle attack(繞圈攻擊),例如今天想要駭入政府單位,但是打不進去,就先去找一個有往來的小供應商,這些中小企業多半不覺得會被攻擊,透過這樣侵入政府系統。駭客很清楚知道自己要打誰,進入受害者網路後,先收集情資,畫出組織圖,誰是員工誰是老闆,一步步進入機密資料庫,所以平均的潛伏期才長達 200 天,這就是APT,企業及政府的機密被有計畫的偷竊。

另一方面,近年來智慧手機、平板電腦大流行,尤其愈來愈多人習慣用手機收郵件,用 LINE、微信談公事,各類手持裝置成為駭客入侵的大漏洞。「手機是自己的,但是內容是公司、甚至是國家的,」Check Point 台灣總經理張紘綱點出手機防毒意識有待建立,這家總部位於以色列的公司,專攻手機資料的安全防護,台灣金融業中有九成都是他的客戶。

行動裝置是防駭大漏洞,企業談公事別再 LINE 了

張紘綱進一步指出,政府國營事業如中油、台電,其員工使用的資料都涉及到國家的機密,如果是在機構內的網路,都有「溫室內」的安全防護,真正的麻煩是出了辦公室,從網路層上(networking)做好防護也相當重要。

像是今年 3 月,美國總統參選人希拉蕊,就被爆出在擔任國務卿期間,以私人電郵帳號處理公務,而有洩密之虞,正接受調查中。而台灣最具國際競爭力的台積電,也是資安業界眼中的模範生,規定員工不准帶有鏡頭、智慧手機進去公司,也不能用手機收發公司郵件的。

國內知名的阿碼科技靠著掃毒的專長,被美商 Proofpoint 以台幣 7.5 億元收購,創辦人黃耀文指出,行動裝置更普及後,公司的檔案不再經過電子郵件,反而會透過社群網站傳出去,防駭的技術也要跟上,因此 Proofpoint 去年才花了台幣 9 億元左右,併購一家專長掃描社群網站的軟體業者。

對此趨勢,不願具名專家分析,中國要台灣的政治、科技業機密,南韓則對產業技術有興趣,為免洩密,「談政治不要用微信、企業談公事不要用 LINE」就對啦!

駭客大戰愈演愈烈,人才荒嚴重,年薪 300 萬找嘸人

隨著上網普及化、全球化,個人、企業、國家無可避免被捲入駭客攻防戰的旋渦,美國總統歐巴馬大舉招募網軍,各大企業資安預算大增,可以證明危機擴大、產業升溫。一家外商總經理說,用年薪 300 萬元找資安危機處理專家,竟然還找不到合格人才,可見人才荒多麼嚴重。

專門偵辦電腦犯罪的警察局偵九隊,前任隊長李相臣就是抓駭客的專家,累積多年經驗,去年被富邦銀行網羅,據了解,就是因為金融犯罪日增,富邦銀只好向警界挖角,而李相臣從警界專家,搖身一變為銀行副總,也是史無前例的轉業,正說明從駭客危機到駭客商機的關聯性。

駭客大戰在國外打得火熱,在台灣除了統計數字顯示經常受到攻擊外,卻沒有實例 ,多位專家表示,美國是有明確立法,必須揭露這類資訊,但台灣沒有,企業害怕商譽受損,都不會主動揭露,經常等到訊息被公開,才低調善後。

美國公務員個資外洩的風暴愈演愈烈,大家都想問,台灣也會發生嗎?行政院資通安全辦公室主任蕭秀琴說「就政府而言,可能性比過去低很多,」這是因為副院長張善政了解嚴重性,建立通報機制、損害控管等流程。

駭客對全世界影響的層面,從軍事、政治角力,到企業競爭,再到個人隱私的安全維護,甚至於未來的物聯網世界,都必須建立在資安的基石上,然而,駭客就像病毒,沒有絕對的特效藥,正確的認知只是第一步,未來還有漫漫長路要走。

(本文由合作媒體 《財訊》 授權轉載,原文標題:中國網軍把台灣當攻擊試驗場,「黑色婉君」統治地球 。未經授權,禁止轉載)

延伸閱讀:

比北韓的恐怖份子還可怕,美國駭客才是網路世界的最大亂源

連恐怖組織都愛用網路,你還敢全盤接收網路資訊?

當政府的手伸進網路自由:國安法修法,恐造成網路戒嚴

點關鍵字看更多相關文章: