海底電纜斷裂、關鍵設施遭駭客攻擊,台灣數位安全拉響警報
文/voa林柏宏
近日台灣海底電纜接連出現斷裂,重型電機公司和大型醫學中心也遇駭客攻擊,引發外界對台灣數位安全與關鍵基礎設施防護的關注。有關專家分析,這幾起駭客攻擊事件很大程度與來自中國的犯罪者有關。他們認為,不管是北京當局意圖對台灣進行灰色地帶的侵擾,還是犯罪分子進行商業勒索,台灣都需要重新檢視其資訊安全性原則並加以強化。
台灣海底電纜疑再成中國灰色戰目標
據台灣媒體中央社報導,台灣總統兼任民進黨黨主席賴清德於2月19日在民進黨中常會上表示,海底電纜是各國關鍵基礎設施,同時也是各國通訊最重要的命脈,但卻十分脆弱,世界各國已經將海底電纜遭破壞視為典型的灰色地帶侵擾手段,政府會積極行動,守護台灣數位生命線。
賴清德的這番講話針對的是台馬二號、三號等連接台灣與離島馬祖的海底電纜日前因線材老化或疑似遭到中國船隻破壞等因素斷裂的事情。
台灣數位發展部(數發部)2月16日發佈新聞稿說,台馬二號海纜因芯線斷裂障礙,進一步發展成全斷狀態的事件。數發部指出,最快要等到約2月底甚至是3月底才能完成台馬二號海纜的修復。
儘管台灣負責海岸巡防的海巡署仍在調查這起事故的詳細原因,但台灣國立高雄大學科技法律研究所教授、專精數位法制研究的羅承宗推測,整起事件很可能與過往海底電纜受損案件如出一轍,疑似由與中國有關的船隻破壞所致。
羅承宗告訴美國之音:「這個行為可不可能是有其他的外國的敵對勢力介入,來去做這樣的一個灰色作戰的話,我認為很有可能,原因就在於說這樣的行為表面上看不出任何的經濟利益,可是這一些以民用船機當作一個偽裝的商船,又想去做這個事情的話,表示它背後一定有動機。假設它是在同一個時間把所有的電纜都弄斷的話,那其實(對)台灣會造成恐慌。」
專精網路威脅研究的杜浦數位安全(TeamT5)技術長李庭閣也對美國之音說,根據內部團隊研究,中國疑似從去年11月起開始,就針對台灣網路通訊業者進行大規模的攻擊行動,因此這次海底電纜遭到破壞,很有可能也為中共一連串對台協同作戰的一部分。
他說:「這一切可能都是中國在為未來的兩岸情勢緊張,做一些準備的動作。」
台醫院首遭大規模駭客攻擊 可能與中國有關?
除了海底電纜斷裂,近期台灣的資訊安全領域也面臨多重嚴峻挑戰。據媒體報導,台灣的馬偕醫院於2月9日至2月11日遭勒索軟體「CrazyHunter」攻擊,一度造成門診及急診超過500台電腦當機、掛號系統停擺的事件。
馬偕醫院稍早表示,2月9日發現系統異常後,立即啟動資安緊急應變作業流程。台灣的衛生福利部(衛福部)及數發部資通安全署(資安署)也已介入協助,不過恐嚇信內容因案件偵查中,不便公開。
馬偕在聲明稿中說,媒體報導指駭客聲稱竊取患者個人資料並威脅公開,但專家比對後發現,這些資料格式與馬偕醫院並不符,系統內也未發現任何個人資料外泄情況。
由於馬偕醫院是台灣北部重要的醫學中心,遭駭客攻擊引起各界關注。台灣衛福部資訊處長李建璋稍早表示,這是台灣醫院「第一次遭到如此大規模,且直接揚言要進行二度、三度攻擊的案件。」
他說,初步研判,駭客可能來自前俄羅斯的一些共和國。
針對這一事件,台灣數發部資安署署長蔡福隆2月19日做出最新回應,表示將規劃推動關鍵基礎設施資安的深度檢查,以強化防護能量。
然而,談到此次事件駭客的攻擊來源,杜浦數位安全技術長李庭閣與李建璋的看法稍有不同。
他說:「馬偕醫院我們也有收集到一些相關的攻擊的惡意程式樣本,我們自己的關聯分析結果顯示,我們有高度的信心(駭客攻擊)是來自中國。原因是我們透過一些關聯分析,有找到一些攻擊者在之前的進行攻擊樣本的測試,還有包括針對一些公司單位的攻擊行動,所以我們相信這個攻擊是來自中國。」
對於台灣觀察人士懷疑台灣海底電纜斷裂及馬偕醫院資安事件可能與來自中國的犯罪者有關,美國之音嘗試通過電話及以電子郵件向中國國務院台灣事務辦公室(國台辦)、負責通信網路安全與資訊安全管理的中國工業和資訊化部(工信部),以及中國外交部提出置評請求,但至截稿前未獲回應。
網軍從政治操作轉向只求賺外快
杜浦數位安全技術長李庭閣分析說,馬偕醫院遭駭客襲擊的事件中,可能來自中國的犯罪者並不具有政治目的,也許只是單純希望拿到勒索贖金。
他說:「我們公司從事所謂的中國網軍的研究已經很長一段時間。我們觀察到近期兩三年有一個趨勢,就是這些所謂的中國網軍,他們開始進行以金錢為目的的網路犯罪行動,這可能包含了勒索軟體攻擊,或者是比特幣的竊取。」
這位元網路安全問題專家說,這些純粹以取得金錢為主的攻擊行動,與以往通指受到特定政府機構支持而所進行一些情報竊取的網軍行徑不太一樣。
至於為何現在以謀取經濟利益為主的中國網路駭客日益增加,李庭閣認為,這可能與中國近年的經濟蕭條有關。
李庭閣說:「為什麼會出現這樣子的現象?我們目前初步的推論,有可能是中國那邊的經濟狀況,導致這一些所謂的網軍,他們過去倚賴政府的(賺錢)模式,可能遭遇到了一些困難,所以他們必須找尋其他的管道,來幫他們賺取額外的金錢。」
犯罪者若與政客串通 消費行為可能被操控
一名因議題敏感而不願透露任職企業名稱的科技公司副總監李重志也認同李庭閣的看法。他說,這次馬偕醫院遭駭客入侵的手法,並非過往常見的中國駭客為求達政治目的的手段,而是典型的勒索,「求取最有效、CP值要高(的方式),就是好勒索、好攻擊,他們也願意會繳錢的這些公司企業」。
李重志認為,若此次犯下馬偕網攻的不法分子確實來自中國,醫院又有資料遭駭客竊取,雖然這些駭客可能跟中國政府未有直接關係,但後果將不堪設想。
李重志告訴美國之音,「(如果)馬偕醫院資料(被)勒索勒索完了,被政治團體、或者是這個敵國他們拿去了,那問題就來了。舉個例子,前一陣子(台灣)高鐵會員的資料,被(駭客)用暴力破解闖入,這個當然是蠻低階駭客求取利益的做法,但是他們如果把這些高鐵會員的消費紀錄拿上去賣,或者直接轉手給中國,可以誤導有些會員集中買哪一些路段的車子,必要時,在車子哪個行經的路段造成事故。」
台灣高速鐵路股份有限公司在去年8、9間,陸續遭到駭客利用「撞庫攻擊」(Credential Stuffing),也就是收集大量網路上已洩露的用戶名和密碼,不斷試圖登入網站的方式,成功詐取會員點數。
台重電資安若遭中國竊取 電力、軌道業者恐也遭殃
除了馬偕醫院以外,台灣重電大廠華城電機股份有限公司也於2月9日在官網發佈訊息表示,該公司2月8日發生網路資安事件。
華城表示,該公司資安部門查知遭受加密攻擊時,就已啟動相關防禦機制與復原作業,因此並未有公司資通系統或官方網站遭攻擊致無法營運或正常提供服務,也尚未發現有個資或檔資料外泄之情事,因此沒有造成公司重大損害,後續將持續提升網路與資訊基礎架構之安全管控。
不過,華城僅提供了此次事件的部分細節,且未透露加密攻擊的來源。
美國之音試圖聯繫華城以瞭解更多情況,包括對駭客組織的初步判斷,但截稿前仍未獲回應。
一家科技公司的副總監李重志認為,由華城透露的有限資訊來看,很難判斷攻擊來源究竟是否來自中國駭客。不過即便不是中國駭客所為,也可將竊取來的原始碼或相關資料在暗網上賣錢,這就很有可能被與中共當局相關的有心人士竊取,進而引發更嚴重的資安風險。
李重志告訴美國之音 :「因為現在的很多重電設備,它其實是可以有遠端遙控,它必須要上網取得token(憑證),或者是一個license(授權),那譬如說艾司摩爾(ASML,即荷蘭半導體設備大廠阿斯麥),它就可以遠端把台積電的機子關掉,連網也可以透過更新版本的過程之中,對你的機器設備產生一定的控制,所以聯網的加密安全是非常重要的。今天華城電機(被駭客)取得的資料,如果裡面有他們電機設備裡面的BIOS原始碼(指系統最底層的韌體程式),對於華城的所有客戶都是一個潛在的威脅。」
李重志還說,若華城電機的網路資安事件背後主嫌為中國駭客,而且其設備有採用OTA(Over-the-Air,遠端更新技術)的產品,客戶很可能落入「不可控的風險處境」,而由於台灣像是台灣電力公司及軌道運輸業者經常使用類似的設備,等同這些機構也將造受巨大的資安威脅。
分析:台灣應檢視其資訊安全性原則
台灣國立高雄大學科技法律研究所教授羅承宗提醒,近期台灣數起包含重電及醫療機構的網攻事件,可能暴露出民間企業資安意識的不足。他認為,最近發生的電纜斷裂以及醫院和電力公司等遭駭客襲擊的事件凸顯出台灣在面對新型數位威脅時,防護措施明顯不夠完善,因此台灣政府應重新檢視其資訊安全性原則並加以強化。
羅承宗說:「中國是有很強的網軍,就真的是軍隊,那針對所謂訓練軍隊級的駭客,來去進行你國家攻擊的時候,相較之下,我們到目前為止,對於這種資訊防禦的概念是很弱的,我們目前因為組織太僵化了,導致說這一塊其實是一個很大的一個漏洞。人家是軍規的駭客,那我們拿什麼跟人家對抗?我覺得這個東西可能是台灣政府要比較嚴肅思考的問題。」
