王仁甫:面对APT级骇客攻击的因应之道

王仁甫 / 思想坦克 2024 年 9 月 23 日

随著全球网路空间的高度连结,网路攻击的威胁日益严重,尤其是进阶持续性威胁(advanced persistent threat, APT)级别的攻击,对国家安全和社会安定产生极大的冲击。

图片来源:达志影像/美联社

(一)APT攻击案例与现况

这个月(2024年9月)年5月数位发展部资安署发出已启动联防体系应变声明,主因亲俄罗斯的骇客组织「NoName057」(详见下表1),接连使用分散式阻断服务攻击(Distributed Denial of Service, DDoS)台湾政府、证交所银行等网站;主因,其不满总统赖清德近日对于中俄领土争议的发言

此骇客组织采取有组织性、计划性和目标导向,且大规模的攻击,属进阶持续性威胁(advanced persistent threat, APT)级别的攻击类型,更反映出APT级骇客组织企图影响地缘政治的平衡关系。

表 1 亲俄罗斯骇客组织NoName057基本资料

项目内容组织名称NoName057成立时间2022年3月立场亲俄罗斯骇客组织活动目标乌克兰、美国、欧洲、台湾的政府机构、媒体及私人公司组织性质非正式且自由的亲俄罗斯行动者团体,目的是吸引西方国家的注意首次攻击2022年3月,声称对乌克兰新闻媒体网站 Zaxid 和 Fakty UA 等进行了DDoS攻击动机攻击反俄的国家(或机构),使其噤声工具开发了名为 DDOSIA 的DDoS工具,使用反复向目标网站发送网路请求执行DDoS攻击社交平台活动使用 Telegram 频道声称攻击责任、嘲弄目标、发布威胁及分享教育内容,也曾利用 GitHub 托管其DDoS工具网站及资源库合作伙伴与其他亲俄罗斯的网路集体合作,如 Killnet 和 XakNet威胁行为向乌克兰媒体员工发出威胁信,这一点已被乌克兰前监察员 Lyudmila Denisova 证实敌人主要敌人是西班牙骇客 Duna,因其多次揭露该组织的行动,并据称与俄罗斯联邦安全局 (FSB) 合作,至少四次企图谋杀 Duna宣言发表日期2022年11月3日宣言内容宣言表明该组织反对乌克兰及其支持者,计划对乌克兰的网路资源进行大规模攻击语录「谁来犯我,必亡于我剑下!」——亚历山大·涅夫斯基

其实,今(2024)年5月美国强烈谴责俄罗斯总参谋部情报局(GRU)(称APT28或称Fancy Bear、Strontium 和 Forest Blizzard)网攻德国、捷克、立陶宛、波兰、斯洛伐克和瑞典等国是公然无视联合国《网路空间国家责任行为框架》(U.N. Framework of Responsible. State Behavior in Cyberspace)

就此,美国司法部已与德国合作,修复了此次攻击的目标及漏洞,包含数百个办公室/家庭路由器及Outlook等相关漏洞(CVE-2023-23397:Outlook存在权限扩张之高风险安全漏洞),凸显跨国资安合作的重要性。

(二)DDoS攻击与认知作战

2024年7月31日为距离美国选举日还有不到100 天,美国网路安全暨基础设施安全局(CISA)和联邦调查局(FBI)联合发布了《如您所知:DDoS攻击可能会阻碍选举》,但不会妨碍投票。

此公告,目标是提高民众对于DDoS攻击的认知,即APT骇客组织使用DDoS攻击选举(或支援)系统,或将会阻碍民众获取选举资讯,但不会影响选举过程的安全性或完整性,但会造成一些轻微的干扰,或阻止民众及时收到资讯,使得不法分子(例如境外敌对势力或网路犯罪分子)利用DDoS攻击,让人民对选举系统或流程产生怀疑,再透过虚假讯息激化民主社会的对立情绪,造成社会恐慌。

就此,美国网路安全暨基础设施安全局(CISA)指出:「民众知情是减少敌对国相关网攻与认知作战的冲击,降低虚假讯息影响的关键」,故CISA发布DDoS攻击对选举的影响性,提高人民的资安认知及意识,以抵抗DDoS 攻击后,对民主及选举的认知作战。

(三)因应亲中俄APT攻击的策略

未来,随著中俄独裁战队抗美欧的情势愈加严峻,使台湾将面临更强烈的APT攻击。

就此,我国可以参考美国对于境外敌对国支持APT骇客组织的(详见表2)的应变策略,例如今(2024)年3月25日美国对中共支持(或亲中)的APT31骇客组织采取了多种应变策略,包含强化防护关键基础设施、刑事法律制裁APT成员、制裁APT企业组织、提供悬赏计划及提升国际合作力道。

表 2美国公布境外敌对国支持APT骇客组织

支持国网攻目标骇客行为、攻击特征及目的中国追求国家利益,渗透关键基础设施网路中国支持APT组织,以国家利益为导向,渗透美国、欧盟及台湾等民主国家之关键基础设施网路,并取得其所需的资讯,进行认知作战。俄罗斯网路间谍活动、压制社会与政治活动、窃取智慧财产权、伤害国际对手俄罗斯支持APT组织,进行跨国网路间谍活动,窃取智慧财产权、抑制反独裁声音,以削弱敌对(民主)国家的国际及地区稳定性。北韩搜集情报、实施攻击、创造收入北韩培养APT组织,进行情报收集和骇客攻击,窃取虚拟货币及执行网路犯罪,创造收入,支持其发展军武。伊朗压制社会与政治活动、伤害地区和国际对手伊朗支持的APT组织,使用网攻达成镇压内部异议声浪及社会运动,及削弱其地区和国际敌对势力的影响力,维持政权稳定。

资料来源: https://www.cisa.gov/topics/cyber-threats-and-advisories/nation-state-cyber-actors

1.强化防护关键基础设施

APT攻击往往针对国家的关键基础设施,如国防、政府部门及重要的关键基础设施及产业,故美国政府不断加强关键基础设施的网路防御能力,及积极与私人(企业或组织)部门合作,确保该基础设施能够抵御APT级别的攻击,及保护重要产业的智慧财产权及营业秘密,确保国家安全及社会稳定。其中,策略关键点:

⑴提高投资关键基础设施的资安防护技术,完备其防御的组态及纵深项目,达成强化防御能力:

A.优先修复已知漏洞:

i.定期检查已知的漏洞(known-exploited-vulnerability-catalog)清单,立即采取修复行动。

ii.执行自动化的漏洞扫描工具,以识别及优先处理高风险漏洞。

B.修复网路组态错误配置:执行网路配置的组态检核工具,定期扫描网路拓扑和设备配置,尤其针对开放的连接埠和不当配置的网路协定进行检查。

C.强化日志记录及监控高风险连接埠:监控日志记录是发现异常行为的关键,尤其是命令列介面(Command-line interface, CLI)等高风险行为,应被详细记录,同时关闭或监控高风险连接埠(如远端桌面协定、伺服器等讯息)。

D.实施最小特权原则:最小特权原则确保每个使用者或系统只拥有执行所需操作的最低权限。

E.加强身份及存取管理(IAM):实施多因素身份验证(MFA)及强密码策略来保护重要系统和资讯;同时,利用身份治理和管理(IGA)工具来追踪并管理所有使用者身份与权限变更。

⑵提高政府、私人(企业或组织)及国际伙伴合作力道,构建资安纵深防御架构。

2.刑事法律制裁

美国司法部起诉七名中国骇客,指控他们合谋实施入侵美国的关键基础设施及电脑,同时提高国际间的司法合作,追查与逮捕APT组织与骇客。

3.制裁APT企业组织及个人

美国财政部对参与APT攻击的个人和企业实施经济制裁,例如制裁武汉晓睿智科技(Wuhan XRZ)及相关个人,限制骇客组织取得不法资金,削弱其执行恶意网路活动的量能。

4.提供悬赏计划

美国国务院的司法奖励计划(RFJ)提供高达1,000万美元的悬赏,寻求APT31及其成员的相关情报,协助执法机构进行调查与追捕。

5.国际合作

APT攻击通常具有跨国性质,需要跨国间的密切合作,才能有效应变该攻击,故此次美国针对APT31攻击的事件,与盟国分享资安情报(或情资),及执行联合打击骇客行动。

(四)结论

境外敌对国家(势力)所支持或亲该国家的APT攻击,具有高度隐蔽性(计划性)、持续性(目标导向),重大威胁关键基础设施,影响国家安全。

因此,台湾必须采取多重的资安应变策略,包括提高投资关键基础设施的资安防护技术与量能,例如提供或补助关键基础设施进行共同流量清洗服务的合作契约,以强化应变DDoS攻击的量能;进一步,应修改法律制裁(骇客)的构成要件及项目(如制裁APT组织或企业)及加强国际合作,提高我国的资安韧性。

此文章与信传媒同步刊登

作者为元智大学资管系专任助理教授、台湾骇客协会理事