國內媒體遭到監控並非一朝一夕之事,除《蘋果日報》外,連國家通訊社中央社也早已被中國網軍監控了。
中國網軍甚至還針對台灣開發專屬後門程式「Taidoor」…
文/林碧玉
為爭取2017年香港特首普選的「占中公投」,是繼今年3月「太陽花運動」以來,挑動兩岸三地最敏感政治神經的議題。中國官方媒體諷刺「占中公投」:「人再多也沒有13億人多。」此言一出,立刻引起台港兩地回嗆:「有種讓13億人民主!」
早已被中共視為眼中釘的壹傳媒主席黎智英,積極參與並號召人們上街頭,卻在深夜遊行時,被告知該集團網站遭駭客攻擊而癱瘓。事發後,黎智英說:「這時間他一定搞你。」「他」是誰?台灣《蘋果日報》言之鑿鑿,將矛頭指向中國網軍,並聯合國內15家媒體及多名學者聯署發起「譴責網軍,捍衛媒體自由」活動。
但國內專門研發、防堵進階持續性滲透攻擊(Advanced Persistent Threat,簡稱APT)產品的資安團隊Xecure Lab共同創辦人Benson,揭露了更驚人的內幕,「《蘋果日報》、中央社,早已成為被長期監控的對象了!」Benson與兩名中央研究院研究員也於去年全球駭客年會上發表這項報告。
入侵重要媒體
癱瘓網站輕而易舉
Benson表示,無法確認監控已為時多久。他透露,去年在蒐集APT樣本時,驚覺國內兩家媒體淪陷。經過一輪調查,發現是《蘋果日報》及中央社。APT攻擊是近年資安圈的重大議題,據了解,早期美國空軍為了形容中國的網路軍隊組織,為免打草驚蛇,暗地裡給了APT這樣的代號。沿用至今,APT幾乎已和網軍畫上等號。
國內一組長期追蹤中國網軍的人員也指出,台灣最早出現APT攻擊是○三年,事隔10年,台灣遭入侵情況非但沒改善,反而愈來愈險惡。
網軍入侵目的有異於一般駭客,不為錢、不為名。駭客攻擊目的,總括而言有三項:錢、名、政治目的。「我從你身上或從別人身上得到1塊錢沒有差別,」Benson解釋,由於缺乏資源,一般駭客較少採取類似APT這種必須經過周密部署且長期潛伏的入侵方式,不符經濟效益。至於為名,如去年震驚台菲的「廣大興號事件」,就有一群Benson口中的「憤青駭客」以「匿名者」組織(Anonymous)之名攻擊菲律賓一些官方網站。
美國資安公司FireEye於今年2月公布的年度報告指出,發動APT攻擊主要目的有三:竊取專利、竊聽政府單位敏感通訊、破壞國安單位防護。長期潛伏並不間斷竊取機密資料,才是網軍的最終目的。創立於○四年的FireEye自去年掛牌上市以來,受到相當多關注,主因是協助美國情治單位,包括中央情報局(CIA)等網羅最先進情報科技的風險投資機構In-Q-Tel是股東之一。這份報告也點名台灣為全球10大最常遭受APT攻擊的目標,排名第8。
由於APT的目標是具有針對性的,因此發動攻擊者也會為目標量身打造惡意程式。換言之,每一支惡意程式都是獨一無二的。惡意程式主要藉由各式電腦軟體的漏洞作為掩護,再透過社交工程引誘使用者點擊挾帶惡意程式的郵件。Benson分享一個案例:國內兩名學術人員透過電子郵件討論研究,其中一人早已被網軍盯上,另一人則是下一個目標。網軍冒用已被盯上的那名學術人員的電子郵件寄了一封推薦助理的信件給另一名學者,並附上履歷,而成功入侵。
APT攻擊手法非常縝密周延,有組織、有部署的網軍分工合作,各司其職。據了解,長時間監控《蘋果日報》及中央社的均屬同一個人,任務是確認目標單位持續回傳機密資料。這次《蘋果日報》事件證明網軍有能力入侵並長期監控,要癱瘓恐怕是易如反掌。作為國內大部分媒體主要消息來源的中央社,一旦被癱瘓,後果不堪設想。
中國網軍各司其職
廣州部隊對準台灣
國內資安人員開玩笑稱,「儘管他們很可惡,但網軍也是人,也有過勞現象哦!」資料顯示,每天早上8點至10點,是網軍啟動及發出攻擊的第一波高峰;下午3點至5點,則是第二波。活躍時間延續至深夜11、12點,周而復始。
最先公開揭露中國網軍的是美國資安公司Mandiant。去年初,Mandiant發布了一項駭人的報告,內容巨細靡遺描述了位於上海浦東新區,有一支「61398部隊」。這支部隊的任務就是發動APT攻擊。Mandiant花了6、7年時間追蹤大陸的APT活動,發現遭受61398入侵最頻繁的前四大產業,包括資訊、航太、公共行政、衛星及通訊,都是「十二五規畫」當中的重點項目。
同年12月,Mandiant被FireEye併購。今年5月,美國司法部以網路間諜罪名起訴5名解放軍軍官,指他們潛入多家能源公司竊取資料。非常巧合的是,這5名軍官皆隸屬61398部隊。
事隔3週,另一家美國資安公司Crowdstrike公布一份報告,揭露第二支中國網軍61486。同樣位於上海,這支網軍的攻擊目標是航太與衛星產業,自○七年活躍至今。
Mandiant及Crowdstrike揭露的網軍同在上海,國內資安人員分析,中國解放軍有七大軍區,「一個軍區兩組網軍,是合理懷疑。」資安人員經過長達10年的追蹤,偵查到中國目前至少有10組網軍,而特別針對台灣攻擊的網軍部隊,推測就在華南的廣州。
此外,Benson和夥伴們在駭客年會也分享,過去5年在台灣最活躍的數百支惡意程式當中發現,9成以上來自同一組人。Benson將之命名為LStudio。全盛時期,這些惡意程式竊取資料涵蓋超過5800台電腦,達30個國家。
新形態攻擊手法
今年駭客年會將討論
一般普遍相信,LStudio就位於中國,不排除與中國網軍有關。LStudio所扮演的角色,就像是軍火商,為網軍提供武器,製造惡意程式。這些武器當中,除了尋找各種電腦軟體的漏洞,還有研發後門程式。「Taidoor」正是為台灣開發的專屬後門。Xecure Lab另一名共同創辦人Birdman曾分享,今年《服貿議題》吵得沸沸揚揚時,已有來自中國的駭客伺機行動,搭配微軟Word漏洞及Taidoor,對台灣發動APT攻擊,郵件附件偽裝為「民眾對兩岸《服務貿易協議》的看法摘要表」。
由於APT入侵手法都是神不知,鬼不覺,目的絕非癱瘓用戶網路。為何這次壹傳媒集團受到的攻擊,卻將矛頭指向網軍?台灣駭客年會總召TT分析,這次攻擊並非傳統的阻斷式服務攻擊(Distributed Denial of Service,簡稱DDoS)。「這次駭客很取巧,轉而攻擊DNS伺服器,」TT解釋,DNS協助辨認網路IP位址,當同時有大量查詢湧入,DNS將癱瘓。這種放大攻擊,要找到源頭是非常困難的。這種新形態的攻擊手法,也是今年駭客年會的重頭戲。
長庚大學資訊管理學系主任許建隆研判,儘管是癱瘓,卻因為攻擊源源不斷,實非一般駭客所為。Benson也指出,若要證實是網軍,只能從分析惡意程式著手,「顯然,證實是中國網軍的官員掌握了一些資料才敢這麼說。」面對中國強大的「網路飛彈」肆意攻擊,台灣各界一定要繃緊神經。
【原文刊載於《財訊雙週刊》454期,更多精采內容請上《財訊雙週刊》官方網站;《財訊雙週刊》官方粉絲團。未經授權,請勿轉載!】
