06:43 am - Thursday 04 June 2020

APT惡意掃射 台灣被駭最深 「只要你是企業領袖,電腦八成被入侵」

週四 2013年08月01日, 9:42 上午【點此取得本文短網址】

  • 0 Comments
  • 1032 views
  • Print Print
文章來源

日期:2013-07-31 作者:呂愛麗 出處:財訊 第 430 期

根據過去五年在台灣最活躍的百支惡意程式發現,九成以上來自這家稱為LStudio的公司,「只要你是業界領袖」,不論是張忠謀、郭台銘,還是蔡明忠、王文淵,電腦八成已被入侵…。
每年七月,美國拉斯維加斯舉辦全球駭客年會,是各路好手朝聖聖地。今年,一組來自台灣,鑽研惡意程式的高手決定要發表一項驚人的研究結果。這組「白帽駭客」(指不做侵權違法之事的駭客)高手從過去五年在台灣最活躍的數百支惡意程式當中發現,九成以上來自同一家稱為LStudio的軟體公司。全盛時期,這些惡意程式竊取資料涵蓋超過五千八百台電腦,達三十個國家。

從資料顯示,LStudio據信位於中國大陸,甚至不排除與當地的網路軍隊有關。若關係確認,LStudio所扮演的角色,可能就像是軍火商,為網軍提供製造惡意程式的武器。據形容,LStudio有一套嚴謹的管理系統,譬如為受害者編號命名以利識別。

台灣有哪些業者已受害?這組人表示,「我們必須很悲觀的假設,只要你是業界領頭羊,保證八成已被入侵。」

台灣企業遭駭客入侵時有所聞。去年二月,鴻海集團董事長郭台銘的信箱遭駭,帳號密碼外洩。據國內一名駭客透露,始作俑者相信是來自中國大陸的駭客。「他們發現郭董和某國家層級很高的領導人有密切信件往來,」據知,這組駭客原本希望找到一些祕辛敲詐郭董,後來從眾多郵件中驚覺涉及高層,事情非同小可而打消念頭。

手法迂迴 防不勝防
連最新版防毒軟體也沒轍

英國《金融時報》於今年五月報導,事實上,這起事件發生在五年前,當時郭台銘正和死對頭比亞迪因專利鬧得不可開交。報導稱,這組駭客向記者透露,郭台銘在信中遊說中共領導人調查比亞迪創辦人王傳福。鴻海及比亞迪拒絕就此報導發表任何意見。

駭客活動活躍,遭殃的不只企業。今年五月,政府電子公文系統遭惡意程式入侵的消息曝光,共計七千多台電腦淪為駭客攻擊的目標。國內駭客圈獲知消息卻一點兒也不驚訝,他們說,「類似的攻擊早從二○○三年起就已經存在了!」一名不願具名的駭客說,「率先淪陷的受害者是警政署。」

事隔十年,台灣「受駭」情況非但沒改善,反而愈來愈險惡。「台灣環境很髒,」每當國內的駭客聚在一起,莫不搖頭嘆息這麼說。這是駭客間的特殊用語,形容台灣充斥未知惡意程式攻擊,烏煙瘴氣。

「髒」的豈止台灣。美國、南韓、日本,均是未知惡意程式滋生且四處流竄的國家。同樣發生於今年,三月二十九日,南韓爆發大規模攻擊,電視台及銀行業逾三萬台電腦被癱瘓,震驚全球資安界。

據趨勢科技台灣區技術總監戴燊透露,事發前數月,已發現客戶遭惡意入侵,提醒客戶留意。

然而,駭客攻擊的手法實非一般人所能想像,連被認為應已採取最嚴密保護的大廠也無法倖免。
一一年,美國及日本最大的國防承包商,分別為洛克希德馬丁及三菱重工雙雙遭遇毒手。駭客攻入洛克希德馬丁的手法之迂迴,讓人防不勝防。攻擊者先入侵為洛克希德馬丁提供安全憑證的資安公司RSA,誘使一名員工開啟一封徵才廣告信件,將惡意程式置入電腦。

乍看之下,類似伎倆似曾相識,畢竟民眾早已被警告過無數次:千萬別任意開啟來路不明的信件。道高一尺,魔高一丈,未知惡意程式攻擊可怕之處是,「你根本看不出那是來路不明的」。碩博士論文專研惡意程式的Benson,三年前離開國內一家電腦軟體服務商,自行創業,開了一家被國內駭客圈公認為「技術一流」的資安公司,Xecure Lab。

說話總是板著臉,看似一副憂心忡忡的Benson指出,「未知惡意程式」的關鍵在「未知」二字。既然是未知,連最新版本的防毒軟體也沒轍。這類惡意程式被美國空軍於○七年賦予一個名稱:APT。APT是Advanced Persistent Threat的縮寫,意指「進階持續性滲透攻擊」。據了解,早期美空軍為了形容中國大陸的網路軍隊組織,不願打草驚蛇,暗地裡給了這樣的代號。

根據目標 量身打造
台灣金融、科技業首當其衝

看不出來路不明,防毒軟體也束手無策,APT的攻擊,正是利用各式電腦軟體的漏洞作為掩護。這些漏洞儼然是駭客的武器。不論微軟、蘋果、谷歌,每天無時無刻都在和駭客競賽,爭分奪秒,搶先找出漏洞。懷有不良企圖的駭客一旦找出漏洞,第一時間是四處找買家,出售牟利。

《富比世》雜誌於一二年三月整理國際黑市交易價格,從五千至二十五萬美元不等,詢問價碼最高的是蘋果作業系統iOS。有意圖製造未知惡意程式的駭客,也在黑市尋找適當的武器,充實武力。另有政府資源撐腰的駭客組織,一般稱「網軍」,若由他們找出漏洞,通常隱匿不張揚,漏洞存在愈久,可用做非法入侵的時效愈長。

獲美國中央情報局投資,專門研發防堵APT攻擊的國際大廠FireEye行銷副總裁威廉斯(Jefferey Williams)指出,駭客根據目標量身打造,因此,每一個未知惡意程式都是獨一無二的。

FireEye於今年初發表的一份報告顯示,一二年,全球一共有一八四個國家被有組織的駭客當成APT通訊及控制中心,比起一○年增加了四二%。其中美國、韓國及中國大陸名列前三。而發送訊號到控制中心的APT工具,高達近九成都是源自大陸。

目前,台灣以金融、高科技業首當其衝,前者的個資、後者的專利、智財,都是APT的目標。

APT的攻擊模式典型三部曲是:入侵、潛伏、竊取,周而復始。由於APT攻擊手法非常縝密周延,一般相信,非單獨一人所能完成,有組織、有部署的網軍涉及機率極高。下手前,已充分了解過欲駭入的組織架構,也很清楚想要竊取的資料是哪些,而金錢通常不是首要目的。

APT典型攻擊三部曲:
入侵↓潛伏↓竊取

儘管中國政府極力否認,今年初,美國資安公司Mandiant發布了一項駭人的報告,內容巨細靡遺描述了位於上海浦東新區的「六一三九八部隊」。這支部隊的任務就是發動APT攻擊。

Mandiant花了六、七年時間追蹤大陸的APT活動,發現遭受六一三九八入侵最頻繁的前四大行業,包括資訊、航太、公共行政、衛星及通訊,都是十二五規畫當中的重點項目。

若報告屬實,完全符合APT攻擊的特徵,目標清晰。鑽研惡意程式逾十年的Benson甚至指出,有組織的駭客在第一次成功入侵時,先將所搜尋到資料打包,發回指揮總部,交由內部人員分析、確認。一旦目標確立,惡意程式潛伏在電腦中,以極低頻率活動著,慢慢的將所有資料偷光光。

根據Mandiant的調查指出,曾紀錄到網軍潛伏在一個受害單位最長的時間是四年十個月。

為了避免身分敗露,這些惡意程式也相當聰明,就像身上裝了偵測器般,直到潛入正確的環境才發作。例如一般使用者的電腦都有裝防毒軟體,若惡意程式感測到某台電腦沒有防毒軟體,立即警覺可能遇到狠角色,於是靜默不動。

更甚者,確保竊取資料的行動不會被阻斷,攻擊者同時入侵幾台電腦。同一時間,只有一台電腦的惡意程式在運作,一旦被發現遭殲滅,立刻由其他台補上。

根據Xecure Lab的統計顯示,過去五年,台灣至少收到一萬封夾帶未知惡意程式的Email附件,通常以會議通知、通訊錄、與會名單的形式出現,攻擊者都會偽裝成收件者認識的人。

直到警察上門才揭發
大多為時已晚

APT防不勝防,遭入侵者往往不自覺。根據Benson在業界觀察,大部分受害單位都是在被通知的情況下,才發現已遭入侵。事情被揭發的原因是受害單位電腦出現不正常連線,包括一些被國際列入黑名單的網站。

這些網站就像黑社會堂口,有自己的地盤和勢力範圍,平常與警察相安無事。「網路上的壞人比警察還凶悍,」Benson說,駭客組織根本不怕被抓,因為他們早已布局好,要追蹤他們的行蹤很困難。有的甚至事前在自己電腦置入惡意程式,反過來宣稱自己才是受害者。

若檢調單位找上門,被入侵單位還可能因此蒙上職務疏失的嫌疑。檢調單位在調查犯罪集團的活動時,放長線釣大魚,一旦發現有單位的電腦連到非法網域,機密資料還因此被搬走,單位主管是否從事違法行為,也成為被調查對象。

APT攻擊現已在全球拉警報,不論是FireEye、趨勢科技,或Benson的團隊,皆異口同聲指出,台灣企業主對這方面的認知仍停留在電腦病毒的階段。由於遭竊走的資料都是無形資產,APT所造成的損失更是無從估計。

  • 0 Comments
  • 1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
    Loading...
  • 1032 views

Leave a Reply