隨著全球網路空間的高度連結,網路攻擊的威脅日益嚴重,尤其是進階持續性威脅(advanced persistent threat, APT)級別的攻擊,對國家安全和社會安定產生極大的衝擊。
一、APT攻擊案例與現況
這個月(2024年9月)年5月數位發展部資安署發出已啟動聯防體系應變聲明,主因親俄羅斯的駭客組織「NoName057」(詳見下表1),接連使用分散式阻斷服務攻擊(Distributed Denial of Service, DDoS)台灣政府、證交所銀行等網站;主因,其不滿總統賴清德近日對於中俄領土爭議的發言。
此駭客組織採取有組織性、計劃性和目標導向,且大規模的攻擊,屬進階持續性威脅(advanced persistent threat, APT)級別的攻擊類型,更反映出APT級駭客組織企圖影響地緣政治的平衡關係。
其實,今(2024)年5月美國強烈譴責俄羅斯總參謀部情報局(GRU)(稱APT28或稱Fancy Bear、Strontium 和 Forest Blizzard)網攻德國、捷克、立陶宛、波蘭、斯洛伐克和瑞典等國,是公然無視聯合國《網路空間國家責任行為框架(U.N. Framework of Responsible. State Behavior in Cyberspace)》。
就此,美國司法部已與德國合作,修復了此次攻擊的目標及漏洞,包含數百個辦公室/家庭路由器及Outlook等相關漏洞(CVE-2023-23397:Outlook存在權限擴張之高風險安全漏洞),凸顯跨國資安合作的重要性。
二、DDoS攻擊與認知作戰
2024年7月31日為距離美國選舉日還有不到100天,美國網路安全暨基礎設施安全局(CISA)和聯邦調查局 (FBI)聯合發布了《如您所知:DDoS攻擊可能會阻礙選舉》,但不會妨礙投票。
此公告,目標是提高民眾對於DDoS攻擊的認知,即APT駭客組織使用DDoS攻擊選舉(或支援)系統,或將會阻礙民眾獲取選舉資訊,但不會影響選舉過程的安全性或完整性,但會造成一些輕微的干擾,或阻止民眾及時收到資訊,使得不法分子(例如境外敵對勢力或網路犯罪分子)利用DDoS攻擊,讓人民對選舉系統或流程產生懷疑,再透過虛假訊息激化民主社會的對立情緒,造成社會恐慌。
就此,美國網路安全暨基礎設施安全局(CISA)指出:「民眾知情是減少敵對國相關網攻與認知作戰的衝擊,降低虛假訊息影響的關鍵」,故CISA發布DDoS攻擊對選舉的影響性,提高人民的資安認知及意識,以抵抗DDoS攻擊後,對民主及選舉的認知作戰。
三、因應親中俄APT攻擊的策略
未來,隨著中俄獨裁戰隊抗美歐的情勢愈加嚴峻,使台灣將面臨更強烈的APT攻擊。
就此,我國可以參考美國對於境外敵對國支持APT駭客組織的(詳見表2)的應變策略,例如今(2024)年3月25日美國對中共支持(或親中)的APT31駭客組織採取了多種應變策略,包含強化防護關鍵基礎設施、刑事法律制裁APT成員、制裁APT企業組織、提供懸賞計劃及提升國際合作力道。
1.強化防護關鍵基礎設施
APT攻擊往往針對國家的關鍵基礎設施,如國防、政府部門及重要的關鍵基礎設施及產業,故美國政府不斷加強關鍵基礎設施的網路防禦能力,及積極與私人(企業或組織)部門合作,確保該基礎設施能夠抵禦APT級別的攻擊,及保護重要產業的智慧財產權及營業秘密,確保國家安全及社會穩定。其中,策略關鍵點:
(1)提高投資關鍵基礎設施的資安防護技術,完備其防禦的組態及縱深項目,達成強化防禦能力:
A.優先修復已知漏洞:
i.定期檢查已知的漏洞(known-exploited-vulnerability-catalog)清單,立即採取修復行動。
ii.執行自動化的漏洞掃描工具,以識別及優先處理高風險漏洞。
B.修復網路組態錯誤配置:執行網路配置的組態檢核工具,定期掃描網路拓撲和設備配置,尤其針對開放的連接埠和不當配置的網路協定進行檢查。
C.強化日誌記錄及監控高風險連接埠:監控日誌記錄是發現異常行為的關鍵,尤其是命令列介面(Command-line interface, CLI)等高風險行為,應被詳細記錄,同時關閉或監控高風險連接埠(如遠端桌面協定、伺服器等訊息)。
D.實施最小特權原則:最小特權原則確保每個使用者或系統只擁有執行所需操作的最低權限。
E.加強身份及存取管理(IAM):實施多因素身份驗證(MFA)及強密碼策略來保護重要系統和資訊;同時,利用身份治理和管理(IGA)工具來追蹤並管理所有使用者身份與權限變更。
(2)提高政府、私人(企業或組織)及國際夥伴合作力道,構建資安縱深防禦架構。
2.刑事法律制裁
美國司法部起訴七名中國駭客,指控他們合謀實施入侵美國的關鍵基礎設施及電腦,同時提高國際間的司法合作,追查與逮捕APT組織與駭客。
3.制裁APT企業組織及個人
美國財政部對參與APT攻擊的個人和企業實施經濟制裁,例如制裁武漢曉睿智科技(Wuhan XRZ)及相關個人,限制駭客組織取得不法資金,削弱其執行惡意網路活動的量能。
4.提供懸賞計劃
美國國務院的司法獎勵計劃(RFJ)提供高達1,000萬美元的懸賞,尋求APT31及其成員的相關情報,協助執法機構進行調查與追捕。
5. 國際合作
APT攻擊通常具有跨國性質,需要跨國間的密切合作,才能有效應變該攻擊,故此次美國針對APT31攻擊的事件,與盟國分享資安情報(或情資),及執行聯合打擊駭客行動。
四、結論
境外敵對國家(勢力)所支持或親該國家的APT攻擊,具有高度隱蔽性(計劃性)、持續性(目標導向),重大威脅關鍵基礎設施,影響國家安全。
因此,台灣必須採取多重的資安應變策略,包括提高投資關鍵基礎設施的資安防護技術與量能,例如提供或補助關鍵基礎設施進行共同流量清洗服務的合作契約,以強化應變DDoS攻擊的量能;進一步,應修改法律制裁(駭客)的構成要件及項目(如制裁APT組織或企業)及加強國際合作,提高我國的資安韌性。