【08】資安的原罪 ch.2-2 從腳本小子到國家級 APT

你覺得只要避免上奇怪的網站、不亂點連結就能保障安全嗎？你相信你的裝置被很好地保護了嗎？或者你認為你的裝置現在還沒有被入侵？本章將帶你了解最頂尖駭客的滲透能力，讓你見識真正的網絡攻擊。

誰在入侵我們的裝置?

網路上隨時充滿著可能入侵我們裝置的人^34，無論他們的技術水平如何。

主要的黑客類型：

• 腳本小子 (Script Kiddies): 這類駭客使用現成的工具或腳本發動攻擊，通常對這些工具的運作原理並不了解。隨著像Metasploit這類工具的普及，攻擊的門檻降低，任何有惡意意圖的人都有可能造成損害。

• APT (先進持久性威脅): 這些是具備高技能的駭客，通常由國家支持，擁有大量資源和方法。APT攻擊常常涉及持續更新的工具和方法，目的在於避開偵測和反制措施（如防病毒軟體和入侵偵測系統 IDS）。

國家級駭客有哪些豐功偉業?

美國

• Echelon 計劃: 一個秘密監控計劃，用各種基地台、電信分路氣、電纜竊聽器來攔截衛星、電話、微波通訊涉及一個全球網絡來攔截通信。
• PRISM 計畫: 侵全美前九大網路公司，從中央服務氣直接存與影音聊天紀錄、照片、墊子郵件、文件、連線紀錄。
• Quantum 工具: 美國在世界各地安插的伺服器，創建出一個影子網路，量子可以偵測到目標瀏覽器計劃載入的網頁，並創建一個嵌入惡意程式碼的副本，搶先在正牌網頁發送到目標面前。
• 2013年，美國國安局在海關進行埋伏，當Cisco思科的路由器出現時，便會打開包裝，將原本的晶片替換成內藏後門的版本，並將這些篡改過的路由器運往國外。
• 《華盛頓郵報》報導，Crypto AG這家公司專門生產軍事用途的加密技術，從1970年開始與美國中情局（CIA）秘密合作，在其設備中嵌入後門。
• 《紐約時報》揭露，在川普第一任期內，尤其是2019年川金會前，美國曾下令派遣海豹部隊潛入北韓海岸，試圖竊聽金正恩的行蹤。^6

中國

• 2010年，Google通報了61398起極光攻擊事件，受害對象不僅限於公司本身，還包括金融、媒體、國防、貨運、製造、電子和軟體等各個領域。被竊取的資訊包括醫學臨床測試結果、產品藍圖以及製程細節。
• 中國持續從美國企業竊取智慧財產，涉及軍方機密如V-22、F-35戰鬥機和黑鷹直升機的設計，以及海龍計畫書等，並且涉及到Google和Facebook等科技巨頭。
• 美國聯邦調查局局長James Comey在2014年表示：美國公司可以分為兩種類型，一類是已經被中國駭過的，另一類則是不知道自己已經被中國駭過的。

俄羅斯

• 2014年，俄羅斯成功侵入美國國務院、白宮、五角大廈和參謀長聯席會議的內部網絡。
• 俄羅斯黑客組織“奇幻雄”和“特物X”成功潛入全國委員會和國會競選委員會的網絡，竊聽並獲取了民主黨高層最機密的談話和分析。
• 安東尼·科瓦列夫（Anatoliy Kovalev）在選舉委員會系統中竊取了大量敏感信息，包括姓名、住址、出生日期、駕照號碼和社會安全號碼。
• 俄羅斯還發動了SolarWinds攻擊，這是一個專門用於企業網絡監控的後門攻擊，美國國防部網絡司令部、聯邦調查局、財政部、國土安全部、商務部以及衛生和公共服務部等多個機構都遭到入侵。

其中美國國安局直接將在硬體上後門的作法令人印象深刻，讓人想到中國近期禁止Nvidia特供版其實是很合理的考量。台灣目前有大量從中國製造的產品，若有被植入有後門的產品，在發生衝突時恐將會帶來巨大的威脅。

沒有人能擋得住?

即使此時此刻，各種滲透入侵也正在如火如荼的進行，除了前面提過的Salt Typoon，筆者這裡也列舉幾則近期的事件：

• 俄羅斯駭客Curly COMrades鎖定前蘇聯國家，透過惡意程式MucorAgent從事隱密的網路間諜活動^12
• 俄羅斯駭客RomCom將其用於實際攻擊行動藉此於歐洲及加拿大的金融、製造、國防、物流產業發動攻擊^10
• 法國國防業者Naval Group傳出遭駭，攻擊者竊得1 TB內部資料^6
• APT28利用郵件系統漏洞從事網路間諜活動，鎖定政府機關竊取重要資料^13
• 資俄羅斯駭客APT28鎖定北約組織（NATO）成員國企業組織的進行最新一波攻擊行動^9
• 加拿大眾議院遭網路攻擊^5
• Google揭露中國駭客UNC3886利用零時差漏洞從事網路間諜活動^22
• 7月23日，3組中國駭客使用SharePoint零時差漏洞從事攻擊^31

其中最令人憂心的恐怕屬於，由中國政府支持^7的駭客針對各種重要機構設施進行滲透，包含金融業、大學^23、政府機關^18 ^8，IT產業^24 ^19，甚至美國核武機構。^14

其中電信業者^16 ^32 ^20 ^25 ^11等更是有越來有明顯成為主要目標，這將使的整個下游客戶被攻擊， 也就是所有使用網路服務的用戶，普通百姓、組織企業到政府機構，恐將全面淪陷。

你還對自己電腦、公司的防禦很有信心嗎?

台灣許多人都相當有信心自己的裝置沒有遭到駭入，或根本沒想過會被駭。

但從上面的事件可以得知，簡單的公司機制(像是: 只能連特定頁面、不能使用私人裝備插入)、到進階資安產品(像是:UTM、EDR)，在面對國家級駭客時很難期待發揮作用。

尤其需要特別小心單純仰賴片面資安產品的數據做判斷，StunxNet的例子就提醒我們，對於成功駭入Kernel的惡意軟體，是如何操控這些表面數據的。

結語

筆者透過第方三消息，得知台灣的金融業、科學園區和電信公司等機構，都已被滲透的情況。令人擔憂的是，這些機構目前並未察覺到這些入侵。

俄羅斯藉由駭入烏克蘭長達8年，判斷烏克蘭足夠弱後而發動進攻。
此時台灣是否具有成功偵測出入侵的能力，也許正對著未來有著舉足輕重的影響。