近年來,無所不在的駭客網路攻擊,已讓傳統網路安全攻防有了進一步的延伸,擴展至認知安全的混合戰,在今年臺灣資安大會上,長年追蹤國家級駭客攻擊的Google Cloud Mandiant,向所有國內與會者介紹他們觀察到的攻擊活動,並說明了臺灣所遭遇的真實現況。

Dragonbridge鎖定臺灣已5年之久,大選期間發動更多針對人身攻擊的輿論操作

關於國家級駭客組織發起的資訊作戰(Information operations),主要利用政治宣傳與不實訊息來混淆與影響社會觀念,也被稱為輿論操弄的影響力行動(Influence operation),自2年前俄烏戰事爆發,已成為全球資安界關注的一大重點,臺灣民眾對此議題更是不陌生,以大型民主指標研究Varieties of Democracy的資料為例,臺灣從2013年以來,受到外國假消息攻擊的情形就持續是全球第一嚴重,境外勢力不只是透過行銷公司與新興媒體來混淆視聽,讓國內受騙者盲目跟著散布其內容,特別的是,這幾年還有駭客行動的介入,然而,鮮少將攻擊行動與背後攻擊者進一步追蹤關聯。

在臺灣資安大會首日主題演說中,Google Cloud Mandiant Intelligence副總裁Sandra Joyce不僅針對一些重要的網路威脅態勢示警,包括零時差利用攻擊現在更常鎖定邊緣設備,濫用受害電腦內建工具執行攻擊的寄生攻擊手法(Living Off-the-Land)越來越多,同時還揭露了近期臺灣持續面對資訊作戰、輿論影響行動的威脅。

在2024 CYBERSEC臺灣資安大會上第一天的主題演說中,Google Cloud Mandiant Intelligence副總裁Sandra Joyce揭露了中國駭客組織Dragonbridge的最新一波活動。(攝影/羅正漢)

Sandra Joyce指出,Google Cloud Mandiant在全球看到了很多間諜活動,不只是美國,臺灣也不例外,尤其是這種輿論操弄的資訊作戰,許多這類攻擊活動都已經獲得證實,而且仍然持續在進行。

例如,他們從2019年開始密切追蹤中國駭客組織Dragonbridge,因為該組織的活動是聚焦在網路上發動資訊作戰、輿論操弄的網路攻擊。而在2022年,Google就已經在YouTube、Blogger、AdSense等平臺上,刪除了超過46,000個Dragonbridge的活動。

Sandra Joyce解釋,這個代號為Dragonbridge的中國駭客組織,是在2019年首度被發現,當時該組織的活動鎖定目標是,污衊香港抗議者的名譽,並批評民主支持者。值得我們注意的是,不僅是針對香港,臺灣民眾也是他們針對的目標,並且已經有多次這樣的攻擊活動。

特別的是,Sandra Joyce在今日大會上,首次公開揭露了該組織的最新一波活動,是圍繞著2024年1月我國的總統大選而來。

她指出,Dragonbridge這次散布的內容有幾個主軸,包括:試圖汙名化一些公眾人物,指控美國與臺灣串通灌票等,還有一些活動是針對臺灣年輕人而來,鼓勵他們投票的同時也夾帶批評特定政黨,以及許許多多不同議題。

有哪些具體活動內容?Sandra Joyce單以污衊臺灣總統蔡英文的資訊操弄活動為例,Dragonbridge就發起3項操弄活動。

首先,大規模散布一份長達300頁、 蔡英文秘史的抹黑內容,並透過大量社群帳號上傳、聯播與分享,目的是吸引好事之徒支持並轉傳,其次,是散布私生子相關消息, 第三是散布政府告密者的消息。 因此,對於一項主題,Dragonbridge就會發起一系列的活動, 來試圖達到影響臺灣輿論的目的。

儘管蔡英文總統不是2024大選參選者,但Dragonbridge這樣的詆毀,無非是衝著蔡英文總統與其政黨的好感度而來。

Sandra Joyce強調,Dragonbridge這麼做已經至少5年,尤其是在臺灣總統大選期間,一些針對人身攻擊的操作又會大幅增加,試圖混淆民主選舉的重要議題討論,針對個人發動疑似或毫無根據的詆毀。

去年,Google也曾發布相關研究報告,揭露Dragonbridge的資訊作戰方式。例如,美國聯邦眾議院議長裴洛西在2022年7月底公布可能訪臺後,Dragonbridge將焦點轉向對裴洛西與其家人及財物的批評,到了8月,中國人民解放軍在臺灣周邊進行軍事演習期間,Dragonbridge再加強力道,上傳中國解放軍國際形象宣傳片,以及呼籲臺灣總統與其政治盟友投降的影片。

不只是臺灣,Sandra Joyce強調,美國也受到這樣的網路攻擊威脅。例如,一個名為HaiEnergy的攻擊活動,這項活動實際上是中國聘請一家公關公司來進行,進一步影響美國政治風向。特別的是,手法上還會利用新聞通訊社的機制,將親中內容擴散到美國合法新聞媒體的特定主題之下,甚至還會在選舉現場資助了現場抗議活動,包括招募假示威者,再將活動照片、影片上傳社群媒體平臺,影片結尾還帶有批評民主、鼓勵不要投票的輿論操作。

最後,Sandra Joyce要提醒大家的是,儘管一些資訊作戰行動不算非常成功,影響力不大,例如,2022年Google關閉Dragonbridge的數萬個YouTube頻道中,有58%頻道訂閱人數為0,有42%影片瀏覽次數為0,有83%影片瀏覽不到100次。

但是,Dragonbridge仍不斷嘗試新的手法、形式與發文。因此,這意味著我們應該保持警惕,並認知這些影響力行動的增加,可能越來越能夠達到他們的目的。

面對這樣劇烈的國內外資訊情勢演變,我們每個人必須努力理解什麼是真實的?什麼是不真實的?並要持續對突然新出現、來源非常可疑的新聞保持警惕。因為這些組織的唯一工作,就是嘗試發表不真實的消息,並試圖左右事件的風向。

中國駭客Dragonbridge每逢重要事件就會加重資訊作戰,例如最新一波攻擊,是圍繞臺灣2024年1月總統大選而來,單以汙名化時任我國總統蔡英文為例,Dragonbridge就發起3項資訊操弄活動,吸引好事者上當被騙,協助轉傳一系列的詆毀、抹黑消息。例如:先是散布關於一份300頁、蔡英文秘史的抹黑內容,接著散布私生子相關不實消息,再散布政府告密者有關的假資訊。(攝影/羅正漢)

這一年來的網路攻擊威脅,還有哪些重要變化?

在這場大會演說之餘,我們也向遠道而來的Sandra Joyce提出一些問題,想請她多談談對於這一年來資安威脅演變的看法。

首先,對於今年3月底XZ Utils後門事件,他們有何特殊的觀察?Sandra Joyce指出,雖然軟體供應鏈攻擊並不是一個新的現象,但這次事件的確再次突顯上游層次惡意程式碼注入的潛在風險,值得注意的是,這項行動可能存在間諜動機,因為後門下一階段的行動,需要攻擊者的私鑰與受害者的公鑰才能進行,這有點類似APT29對Solarwinds Orion的供應鏈攻擊事件,會是有選擇性地挑選第二階段的受害目標。同時,分析該後門之後,可以發現攻擊者花了相當大的心力,避免行動被發現並設法阻礙分析。

此外,從這一年的威脅變化來看,有3點是她想特別強調的部分,第一點,企業組織發現入侵的時間,從2022年的16天降至10天,雖然這可能也與勒索軟體事件增加而導致,不過,在此同時,從自身內部發現入侵的比例,也從2022年的37%增至46%,這顯現出全球防禦者的偵測能力已有所提升。第二點,亞太區要特別注意勒索軟體攻擊的態勢,因為亞太區有一項明顯的變化,是發現入侵的時間從2022年的33天降至9天,這很可能是勒索軟體攻擊事件造成,因為在2023年,亞太區的勒索軟體攻擊事件佔比比其他地區都高;第三點,攻擊者為了不被發現正採取更多手法入侵,透過零時差漏洞利用的攻擊就是一種,因此,持續合作的情資交流至關重要。

對於我們要如何面對資安作戰的威脅?她再次強調,我們不應該急於接受內容,對於突然出現、來源可疑的內容揭露,每個人都應該抱持極度謹慎的態度。這就是應對這些狀況最簡單的原則。

 相關報導 

熱門新聞

Advertisement