紅色網戰:中國駭客組織發起網路攻擊鏈,台灣百處基礎設施如何防備?
文/RFA
2017年7月,有網路作戰部隊之稱的國防部資通電軍指揮部(以下簡稱資通電軍)正式成立,成為陸、海、空三軍外的第四軍種,更是台灣唯一兼具攻守一體特性的軍事網路安全單位。總統蔡英文在致詞時強調,台灣國防將全面進入資訊作戰時代,資通電軍更肩負保護國家機密和防護國家關鍵基礎設施(Critical Infrastructure, CI)的重任。
為了落實蔡英文交付的任務,2017年,一場模擬關鍵基礎設施遭受駭客攻擊的機密演習正式登場。
根據《報導者》取得的資料,這場以攻擊行控中心和煉油廠為焦點的機密演習,是資通電軍成軍後,首次被納入危機處理隊伍的重要演習。其目的有二,一是演示關鍵基礎設施遭受攻擊的嚴重後果,二是將中國駭客的威脅,清楚展現在總統眼前。
駭客攻擊關鍵基礎設施的效果:低調、緩慢且毀滅性十足
演習的上半場,中國支援的駭客組織發起第一波攻擊,攻擊者成功入侵交通部高速公路局的交通控制中心並取得控制權後,造成全台灣8條國道、12條快速公路和周遭交通全數停擺的大型癱瘓。堵在路上的駕駛人們謾駡,救護救災車輛無法通行,緊接著股市迎來劇烈波動。駭客組織接著攻入台灣各媒體的後台進行第二波攻擊,多數新聞版面被置換為夾雜中國用語的標題:若再冥頑不靈,將發動駭客愛國陣線,薄施懲戒。
直至資通電軍出動,赴各地交控中心檢測出駭客所使用的惡意程式,並且將系統重置後,全台交通才得以恢復正常。但從入侵開始到事件結束,已經將近24小時,帶來數千萬元的經濟損失和賠上數十條人命。
演習的下半場,則是一場更為慘烈的事故,這次駭客將箭頭瞄準煉油廠。
在間諜手法與惡意程式的串連下,駭客成功侵入煉油廠內部網路,將病毒注入到連接實體機器與數位信號的可程式化邏輯控制器(PLC),導致控制冷卻注水的工業控制閥門停止運轉,煉油槽異常升溫,紅色警示亮起,最後模擬影片中響起煉油廠劇烈的爆炸聲。
這次鎖定特定單位的演習,用釣魚郵件感染電腦、透過漏洞部署武器、最終劫持設施控制權,一系列操作展示了進階持續性滲透攻擊(APT)對關鍵基礎設施的重大威脅:低調、緩慢且毀滅性十足。
一位元擁有30多年資安經驗的研究單位主管在接受《報導者》訪問時強調,上述演習的劇本是根據真實情資來編寫。換言之,中國支援駭客組織攻擊台灣關鍵基礎設施,並非只是一種擔憂,而是早就確有其事。
零時差的無差別攻擊,外界評估台灣被駭的風險程度為何?
根據2018年公佈的《資通安全管理法》,台灣關鍵基礎設施分為八大領域,分別是能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區。而在數位發展部提供給《報導者》的書面資料中,確認現階段全台關鍵基礎設施共有100多處。
至於具體有哪些關鍵基礎設施遭受攻擊,礙於機密,數位發展部表示不便透露。而關鍵基礎設施之所以成為駭客攻擊的目標,負責國家頂級網功能變數名稱稱發放,並接收國際駭客攻擊事件情資的台灣網路資訊中心(TWNIC)董事長黃勝雄指出,關鍵基礎設施的特點不只在於它是連帶性的,還是集中性的,(被駭客入侵)產生的後果就會很嚴重。他舉例:一旦煉油廠遭受入侵,燃油就沒辦法送往電廠進行發電,電壓不足會導致自來水加壓站無法供水,連帶仰賴大量水電的高科技業也將停擺;實際上,台灣有超過6成的海纜集中在宜蘭頭城,若遭到破壞,台灣對外通訊也會立即陷入困境。
連帶且集中的特性,讓台灣關鍵基礎設施面臨網路攻擊的風險大增。
以模擬駭客思維,透過實際攻擊來找出客戶資安防護缺陷而聞名的資安公司戴夫寇爾(DEVCORE),曾為總統府等政府機構提供服務,其共同創辦人暨資深副總徐念恩接受《報導者》採訪時強調:我們覺得最好攻擊的單位就是『表面積』很大的單位。就像你要拿一個針去戳一個球體,籃球一定比桌球容易得多。(注:表面積指機構企業的網站及網域數量、使用的IP位置數量、以及採行資安框架的多寡等。)
徐念恩也說明,如台灣能源產業有很多事業群,旗下又有各自網站,就好像一間房子有大量的對外視窗,一旦其中一扇窗戶被打破,網路攻擊者就得以堂而皇之地入侵。
考量到地緣政治的風險,各國資安公司早已點出台灣關鍵基礎設施所面臨的巨大威脅。曾在美國國家安全局(NSA)任職的Fortinet公司全球資安長Phillip Quade,在2019年來台時就示警,以製造業為主的台灣,生產線上配備了許多工業控制系統與設備(ICS),一旦與IT網路相連,很容易身陷網路攻擊威脅。
而在網路衝突中,駭客針對關鍵基礎設施中的工業控制系統發動攻擊,進而達到控制、癱瘓與毀滅的效果,也早就是現代化戰爭中的重要手段。
2009年美國與以色列合作開發出名為震網(Stuxnet)的電腦蠕蟲(Computer Worm),透過網路攻擊來摧毀伊朗生產濃縮鈾以發展核武的離心機,創下全球第一起網路攻擊關鍵基礎設施的紀錄。2015年,由俄羅斯在背後撐腰的駭客組織沙蟲(Sandworm),以更加精密的手法襲擊了烏克蘭電力系統,導致25萬人在寒冷的聖誕夜前夕無電可用。
種種跡象都顯示,過去以軍事設施為打擊物件,能精確控制損害範圍的戰爭,在網路戰時代,已經升級成一種不分軍民,專注於破壞社會運作的無差別攻擊。
資安公司Fortinet在今年針對包括台灣在內的全球570名製造、能源、醫療、運輸等關鍵設施產業人員進行調查後,得出一個驚人結論:全球75%的單位在過去12 個月內都曾遭駭客入侵至少一次。
演習之後的現實:醫院與軍方醫療機構仍頻遭網攻
從2017年至今,針對駭客入侵的演習仍持續進行。但在頻繁的攻勢下,我國關鍵基礎設施的資安防護狀況仍然令人憂心。
2019年,台灣的醫療領域就曾遭逢大規模網路攻勢。
2019年8月28日晚間起,電腦病毒陸續襲擊了全台22間醫院。在一片夾雜著白色數位的黑色畫面中,你的檔被加密了的警語覆蓋了電腦畫面。畫面下方緊接著是簡體字寫成的勒索通知信:
不要相信任何人,除了Sin Eater.666@aol.com。殺毒軟體將會刪除這個文檔,那麼您將無法聯繫到我們。發送檔到郵箱,我們將會給出解密所有檔的價格。
衛福部當時雖發佈新聞強調未影響醫療業務運作,亦未發現個資外泄情事,但問題並沒有那麼單純。台灣學術網路危機處理中心 (TACERT)在同年年底發佈報告指出,此次事件中的勒索病毒為GlobeImposter,比一般勒索病毒更有針對性。駭客將中毒電腦作為跳板,讓病毒竄入衛福部電子病歷交換系統(EEC)專屬的VPN 網路,隨後開始急速擴散,影響所及包括病患資料、員工名冊帳冊、醫療數位影像,斷層掃描病歷等。這份報告並強調:由該事件可發現許多現有醫院存在資安問題。
衛福部轄下的桃園醫院也傳出2020年遭到入侵,電腦被植入惡意程式、個資外泄。一位過去幾年接手醫院資安事件調查的資安主管Sam(化名)向《報導者》透露,台灣不少醫院因為分院多而建置很多網站,因此遭受攻擊的表面積大;再者,多數醫院網站建置的時間已非常久遠,更新維護意願低,從COVID-19疫情開始後,駭客攻擊的數量比以往更高。
在多次調查醫療領域資安事件後,Sam發現台灣醫療體系中,軍方機構和退伍軍人相關醫院已是近幾年網路攻擊的熱點,且攻擊手法頗具創意。Sam告訴我們,他觀察到攻擊者會鎖定合法的虛擬私人網路軟體(VPN),將公開版本修改成有植入惡意程式或後門的駭客版本後,散佈給目標使用者下載。一但下載成功,駭客版本的VPN就會將連線導回攻擊者處,並且將資料傳輸偽裝成常見的模式,讓駭客們得以一邊潛伏竊取機敏情資,同時又能躲避防毒軟體的偵測。
就在處理某醫療財團法人遭入侵時,Sam更發覺,該機構從2021年9月就被駭客植入後門,分析使用手法和工具後,可以推斷出入侵源頭應是與中國關係密切的駭客組織APT41(Advanced Persistent Threat 41)。
邪惡熊貓與他的30組中國夥伴
APT41,這個又名Wicked Panda(邪惡熊貓)、Winnti、BARIUM的組織,不但成員在2020年被美國司法部正式起訴,更是少數被美國政府點名、認為背後有中國共產黨支持的駭客團體。
根據美國司法部發佈的新聞顯示,APT41遭到起訴的成員蔣立志、錢川、付強等,皆在中國四川省成立的成都肆零肆網路公司擔任幹部。而成都肆零肆除了開發駭客工具及精密的惡意程式外,更針對全球政府機關、通訊及科技業、學術研究機構、醫療機構及電玩遊戲產業等超過100家企業發動網路攻擊及間諜活動。其中一位遭起訴的APT41成員譚戴林,更被《紐約時報》(The New York Times)揭露在2006年成功入侵美國國防部五角大樓網路,並將大量檔發送回中國。
為多國企業、政府部門與軍方提供網路威脅情資,並且追蹤各國駭客組織的TeamT5( 杜浦數位安全公司),在過去幾年長期追獵APT41的行蹤。
TeamT5執行長蔡松廷向《報導者》指出,APT41這群經常鎖定台灣的中國駭客,早期是針對博弈產業與通訊、科技業進行攻擊,近幾年範圍則擴張到學術機構、醫療機構、化學、航太、能源、媒體和各國政府機關,包括台灣、新加坡、馬來西亞、日本、韓國、美國、印度和澳洲都是其鎖定的國家。
中國解放軍在2015年12月31日成立與陸海空軍平行的戰略支援部隊網路軍力後,近年更不斷強化網路作戰力量。對此,蔡松廷強調,APT41擁有非常龐大的惡意程式火藥庫,因此推斷是在中國國家安全部(MSS)整合了各種資源、攻擊技術和工具後,讓APT41及相關的駭客團體規模更大、火力更強。據估計,包括APT41在內,來自中國的活躍駭客組織有30個之多。
中油、台塑接連遭駭,威脅分析師:軍事等級的潛伏攻擊
事實上,除了入侵台灣醫療體系,這幾年APT41也開始針對其他台灣關鍵基礎設施進行攻擊,並涉及中油、台塑兩家能源公司遭駭的重大資安攻擊案件。
2020年5月4日中午,全台中油加油站的交易系統突然無法使用,會員卡、捷利卡、中油PAY等與系統連結的支付方式一併停擺,加油站員工告知顧客只有現金和信用卡能用,也有網站直接貼出暫停服務的告示,影響遍及1,500多個加油站。中油公司其後發佈新聞稿,證實資料庫和部分電腦主機遭勒索軟體感染。
就在中油事件的隔天,5月5日上午11時,台灣兩大石油供應商之一的台塑也傳出系統異常。台塑資訊單位通報員工暫停使用網路與發送信件,啟動檢修作業後,確認電腦遭到入侵。
由於這兩起案件並非只是為了索取贖金的單純商業勒索,而是明確針對關鍵基礎設施而來,因此被列為台灣少見的三級資安事件,不但轉由調查局接手,其後更與美方聯手偵辦。
歷經數個月的台美聯手調查,調查局與美方在同年9月還原了事件成因。時任調查局資安工作站副主任劉家榮指出,這幾起攻擊,駭客先是利用員工電腦、網頁和資料庫伺服器等途徑,進入公司內部系統進行潛伏及刺探,伺機竊取高許可權帳號後,再利用連接多處電腦的網域伺服器將勒索病毒派發到全公司的電腦中。最後,駭客們修改工作排程,讓勒索病毒在員工電腦裡自動執行,設定發作時間,就像在電腦裡裝了幾顆定時炸彈,時間一到就爆炸,引發系統停擺。
調查局隨後更在台灣資安大會上指出,早在2016年4月,中油電腦就被執行了惡意程式,台塑電腦也在2019年9月遭遇入侵。種種跡象顯示,針對這兩家關鍵基礎設施的行動,是瞄準目標、長時間潛伏、經過充分模擬與測試的APT進階持續性滲透攻擊,而根據使用工具和中繼站等相關資訊,台美雙方推斷攻擊者就是惡名昭彰的APT41。
一位資安威脅分析師如此描述這波針對中油、台塑的攻擊:這是軍事等級的行動,想像一下狙擊手要潛伏多久,才會開出第一槍。
警政署:重點是駭客潛伏,大多數機關根本不知道自己遭入侵
美國網路資安與基礎架構安全局(CISA)整理出駭客採用的5D手段,分別是中斷(Disrupt)、癱瘓(Disable)、阻絕(Deny)、欺騙(Deceive)及摧毀(Destroy)。值得慶倖的是,台灣關鍵基礎設施尚未面臨最具破壞力的摧毀攻擊。
但這並不代表台灣已然倖免於難。警政署資訊室主任林建隆接受《報導者》訪問時強調,現在遭遇最大的問題是駭客潛伏:潛伏時間拉長,大部分機關根本不知道自己遭到網路攻擊。
林建隆曾偵破多起國內外駭客入侵案件,過去也曾在刑事局科技犯罪防制中心與科技研發科服務,近年開始發現大量對於台灣關鍵基礎設施的潛伏攻擊。因為事涉機密,林建隆不願意透露是哪些單位遭到網路攻擊,但他以一起已經曝光的事件進行說明。
2020年5月,一封來自 publi@mail.oop.gov.tw 的電子郵件被同時寄給多位元立委的服務處,信件內容附上一則連結,要求立委們填寫表格並回傳,下方並有總統府的署名。
如果沒有細看,很難發現寄件人的電子郵寄地址與真正的總統府信箱(public@mail.oop.gov.tw)僅有一字之差,這是釣魚郵件的常用手法。
由於駭客冒充總統府名義,刑事局很快接手調查。作為當時的負責人之一,林建隆從釣魚網站連結、夾藏的惡意程式樣本、釣魚網站的IP與網域等方向著手,很快推斷攻擊者是國家支援的組織駭客:為什麼敢這樣說,因為證據顯示案發半年前,他們也對西藏做了一樣的事情,會有哪一個國家同時對(攻擊)台灣跟西藏有興趣?大概就是中國而已。
此外林建隆也觀察到,中國支援的駭客組織,近年來喜歡鎖定網路通訊設備的漏洞來進行攻擊,而不是直接攻擊電腦設備,以借此避開防護偵測,讓整體攻擊手段變得更加細膩與隱匿。
另一位不願具名的內政部資安主管King(化名),則與林建隆一樣向《報導者》證實了這些隱匿的潛伏攻擊:以我處理過的案例,電信公司、金融單位、水資源處理設施和軍校,這些單位都有駭客潛伏的例子。
King認為,這些已有駭客入侵的關鍵基礎設施中,以水資源處理設施最值得擔心。當駭客透過釣魚郵件成功入侵主機系統,就能夠控制調整流量與添加物的設備,台灣的水源生產和處理能力就會遭到癱瘓,他說。
這位資安主管更特別提及軍事學校中的駭客潛伏。他向我們解釋,駭客躲在軍校系統裡搜集資料,就是為了知道哪些人以後有可能當將官,以事先掌握這些未來將官的重要個資;未來兩岸若發生衝突,對岸就會根據我方將官的資料擒賊先擒王。而這些網路潛伏都是以年為單位,我方很難知道攻擊者已經做到什麼地步、搜集到多少資料。
台灣第一份關鍵基礎設施網路曝險報告的示警
為了證實目前所面臨的威脅,《報導者》也取得台灣第一份關鍵基礎設施網路曝險報告──這份由睿控網安公司的資安威脅研究團隊經理鄭仲倫撰寫的報告,從各種管道搜集了台灣關鍵基礎設施外泄的30萬筆個資,內容包括市值排行前百名的企業,以及電力、石油、天然氣、水資源產業、醫學中心、運輸業、金融業和中央政府部門等。研究者希望瞭解這些個資會不會和烏克蘭停電事件一樣,成為民生社會癱瘓的原爆點。
鄭仲倫受訪時,提到報告中的兩大關鍵:
台灣關鍵基礎設施的大部分洩露個資,都是因為使用弱密碼──大約有10%的密碼可成功對應到前100,000個密碼字典。這代表掌握國家社會運作的基礎設備密碼,有極大機率被駭客暴力破解。
按照台灣政府的分類,外泄個資比例中,最高為通訊傳播類基礎設施,比例高達23.16%;其次為緊急救援與醫院(15.95%);第三名為政府機關(10.86%);第四名是能源產業(8.98%),第五名則是科學園區與工業區(8.41%)
大量外泄的個資,對照數位發展部在2022年6月發表的公務機關資安稽核結果,包括中央銀行、交通部、行政院原子能委員會等十多個機關的平均資安分數,都只落在60至70分的及格線上,種種跡象都顯示我國關鍵基礎設施的脆弱。
鄭仲倫因此強調,要因應對於關鍵基礎設施的攻擊,最重要還是回到人本身,也就是關鍵基礎設施相關人員的資安意識是否充足、應當如何提升這兩大關鍵。他直白指出,台灣(資安防護)現況雖然有進步,但仍亟需提升。
從攻擊反制中窺見台灣的不足
2018年6月,台灣第一部《資通安全管理法》三讀通過,相關單位也持續進行針對關鍵基礎設施的兵推演習。一位不願具名的資通電軍軍官接受《報導者》訪問時透露,政府早已為了反制網路攻擊做準備,例如我方近年曾針對中國關鍵基礎設施進行調查,並列出三項癱瘓目標:化工制程、智慧自動化製造、電力設施。
但這位軍官也坦承,目前為止我方反制網路攻擊的效果並不好,因為相對台灣,中國早就花費數十、數百倍的人力和資源在滲透我國關鍵基礎設施,中國甚至會花費資源訓練相關科系的大學生來專門尋找零時差漏洞(Zero-Day Vulnerability)。(注:零時差漏洞或零日漏洞,是指軟體、韌體或硬體設計當中未被揭開,或已被公開揭露但廠商卻仍未修補的缺失、弱點或錯誤。這樣漏洞的發現將為駭客提供極高的利用價值,可被開發成強大的網路武器。從國家間諜到網軍部隊,都非常重視這些資訊。)
重新回顧2017年的演習,站在網路戰最前緣的這位資通電軍軍官,更認為當初總統為資通電軍設立保護關鍵基礎設施的目標,並沒有全然實現。他指出,不但各個關鍵基礎設施所屬單位的資安防護狀況有不小落差,就連資通電軍以及負責研發的中科院本身,也因誘因不足而陷入人才招聘困難:人力銀行的頁面上,資通電軍所開設的7個職位還依舊懸缺,就可看出現階段資安防護的困境。
今年度的漢光演習,首度將台北車站、桃園煉油廠、永安液化天然氣廠、金門大橋和桃園機場等關鍵基礎設施的實體防護納入專案之一,卻未見關於網路攻擊的防護措施。
5月,涉及22項法案的強化關鍵基礎設施保護法案在立法院三讀通過,但民間國安智庫隨即點出其中不足,包括保護項目涵蓋不足、威脅態樣太過狹窄、缺乏事前保護手段,以及沒有規劃任何預警、調查和追訴的配套措施。
應對網路攻勢,失一分就是輸
儘管現行法規已經定義關鍵基礎設施範圍,並將相關的民間企業與單位納入,律定政府與民間各自應履行的資安責任,但數發部資通安全署在書面回覆《報導者》提問時仍指出:駭客利用已知設備漏洞、駭客工具及系統弱點攻擊比例仍有偏高情形,因此我國關鍵基礎設施內相關的系統、維護人員及設備供應商,從資安意識到防護措施仍有待持續強化。
網路戰跟運動比賽不同,不是得分多的贏,而是失一分就是輸。無論守住多少次,只要有一次沒守住,關鍵基礎設施就可能被癱瘓,重要資料就會被偷走!Team T5公司執行長蔡松廷強調:活躍的中國駭客組織,正磨刀霍霍隨時準備發動攻勢,它是每天在看著我們,面對這樣的敵人,我們只能一直做下去(資安防護),一天都沒辦法鬆懈。
※本報導為《報導者》與自由亞洲電台(RFA)中文部共同製作
連結:专栏 | 报导者时间:红色网战:中国骇客组织发起网路攻击链,台湾百处基础设施如何防备? — 普通话主页 (rfa.org)