【08】資安的原罪 ch.2-2 從腳本小子到國家級 APT
你覺得只要避免上奇怪的網站、不亂點連結就能保障安全嗎?你相信你的裝置被很好地保護了嗎?或者你認為你的裝置現在還沒有被入侵?本章將帶你了解最頂尖駭客的滲透能力,讓你見識真正的網絡攻擊。
誰在入侵我們的裝置?
網路上隨時充滿著可能入侵我們裝置的人^34,無論他們的技術水平如何。
主要的黑客類型:
-
腳本小子 (Script Kiddies): 這類駭客使用現成的工具或腳本發動攻擊,通常對這些工具的運作原理並不了解。隨著像Metasploit這類工具的普及,攻擊的門檻降低,任何有惡意意圖的人都有可能造成損害。
-
APT (先進持久性威脅): 這些是具備高技能的駭客,通常由國家支持,擁有大量資源和方法。APT攻擊常常涉及持續更新的工具和方法,目的在於避開偵測和反制措施(如防病毒軟體和入侵偵測系統 IDS)。
國家級駭客有哪些豐功偉業?
美國
- Echelon 計劃: 一個秘密監控計劃,用各種基地台、電信分路氣、電纜竊聽器來攔截衛星、電話、微波通訊涉及一個全球網絡來攔截通信。
- PRISM 計畫: 侵全美前九大網路公司,從中央服務氣直接存與影音聊天紀錄、照片、墊子郵件、文件、連線紀錄。
- Quantum 工具: 美國在世界各地安插的伺服器,創建出一個影子網路,量子可以偵測到目標瀏覽器計劃載入的網頁,並創建一個嵌入惡意程式碼的副本,搶先在正牌網頁發送到目標面前。
-
2013年,美國國安局在海關進行埋伏,當Cisco思科的路由器出現時,便會打開包裝,將原本的晶片替換成內藏後門的版本,並將這些篡改過的路由器運往國外。
-
《華盛頓郵報》報導,Crypto AG這家公司專門生產軍事用途的加密技術,從1970年開始與美國中情局(CIA)秘密合作,在其設備中嵌入後門。
- 《紐約時報》揭露,在川普第一任期內,尤其是2019年川金會前,美國曾下令派遣海豹部隊潛入北韓海岸,試圖竊聽金正恩的行蹤。^6
中國
- 2010年,Google通報了61398起極光攻擊事件,受害對象不僅限於公司本身,還包括金融、媒體、國防、貨運、製造、電子和軟體等各個領域。被竊取的資訊包括醫學臨床測試結果、產品藍圖以及製程細節。
- 中國持續從美國企業竊取智慧財產,涉及軍方機密如V-22、F-35戰鬥機和黑鷹直升機的設計,以及海龍計畫書等,並且涉及到Google和Facebook等科技巨頭。
- 美國聯邦調查局局長James Comey在2014年表示:美國公司可以分為兩種類型,一類是已經被中國駭過的,另一類則是不知道自己已經被中國駭過的。
俄羅斯
- 2014年,俄羅斯成功侵入美國國務院、白宮、五角大廈和參謀長聯席會議的內部網絡。
- 俄羅斯黑客組織“奇幻雄”和“特物X”成功潛入全國委員會和國會競選委員會的網絡,竊聽並獲取了民主黨高層最機密的談話和分析。
- 安東尼·科瓦列夫(Anatoliy Kovalev)在選舉委員會系統中竊取了大量敏感信息,包括姓名、住址、出生日期、駕照號碼和社會安全號碼。
- 俄羅斯還發動了SolarWinds攻擊,這是一個專門用於企業網絡監控的後門攻擊,美國國防部網絡司令部、聯邦調查局、財政部、國土安全部、商務部以及衛生和公共服務部等多個機構都遭到入侵。
其中美國國安局直接將在硬體上後門的作法令人印象深刻,讓人想到中國近期禁止Nvidia特供版其實是很合理的考量。台灣目前有大量從中國製造的產品,若有被植入有後門的產品,在發生衝突時恐將會帶來巨大的威脅。
沒有人能擋得住?
即使此時此刻,各種滲透入侵也正在如火如荼的進行,除了前面提過的Salt Typoon,筆者這裡也列舉幾則近期的事件:
- 俄羅斯駭客Curly COMrades鎖定前蘇聯國家,透過惡意程式MucorAgent從事隱密的網路間諜活動^12
- 俄羅斯駭客RomCom將其用於實際攻擊行動藉此於歐洲及加拿大的金融、製造、國防、物流產業發動攻擊^10
- 法國國防業者Naval Group傳出遭駭,攻擊者竊得1 TB內部資料^6
- APT28利用郵件系統漏洞從事網路間諜活動,鎖定政府機關竊取重要資料^13
- 資俄羅斯駭客APT28鎖定北約組織(NATO)成員國企業組織的進行最新一波攻擊行動^9
- 加拿大眾議院遭網路攻擊^5
- Google揭露中國駭客UNC3886利用零時差漏洞從事網路間諜活動^22
- 7月23日,3組中國駭客使用SharePoint零時差漏洞從事攻擊^31
其中最令人憂心的恐怕屬於,由中國政府支持^7的駭客針對各種重要機構設施進行滲透,包含金融業、大學^23、政府機關^18 ^8,IT產業^24 ^19,甚至美國核武機構。^14
其中電信業者^16 ^32 ^20 ^25 ^11等更是有越來有明顯成為主要目標,這將使的整個下游客戶被攻擊, 也就是所有使用網路服務的用戶,普通百姓、組織企業到政府機構,恐將全面淪陷。
你還對自己電腦、公司的防禦很有信心嗎?
台灣許多人都相當有信心自己的裝置沒有遭到駭入,或根本沒想過會被駭。
但從上面的事件可以得知,簡單的公司機制(像是: 只能連特定頁面、不能使用私人裝備插入)、到進階資安產品(像是:UTM、EDR),在面對國家級駭客時很難期待發揮作用。
尤其需要特別小心單純仰賴片面資安產品的數據做判斷,StunxNet的例子就提醒我們,對於成功駭入Kernel的惡意軟體,是如何操控這些表面數據的。
結語
筆者透過第方三消息,得知台灣的金融業、科學園區和電信公司等機構,都已被滲透的情況。令人擔憂的是,這些機構目前並未察覺到這些入侵。
俄羅斯藉由駭入烏克蘭長達8年,判斷烏克蘭足夠弱後而發動進攻。
此時台灣是否具有成功偵測出入侵的能力,也許正對著未來有著舉足輕重的影響。