圖片來源: 

攝影iThome

資安威脅加劇成全球重大風險,2022年2月俄羅斯入侵烏克蘭之後,這場衝突引發的網路威脅變化,引發全球關注,對於臺灣而言,因長期飽受周邊國家威嚇,更希望能從中掌握強化防禦的關鍵。

這一年來,我們已經看過許多資安業者對烏克蘭戰爭的分析,顯示網路攻擊在國際武力衝突下,持續發揮重要作用。而在2023臺灣資安大會的第一天,追蹤全球200多個駭客組織的Google威脅分析小組(Threat Analysis Group,TAG),向所有與會者介紹他們的發現,希望全球對這場衝突帶來的網路威脅格局變化,都能有更清楚的認識,才能進一步思考對策。

在衝突前俄網路攻擊力道就已加大,並針對北約國家發動攻擊,還有全球網路輿論影響

對於一般民眾而言,關於現代戰爭面貌的想像,可能仍停留在陸海空軍力的實體行動,但去年俄羅斯軍隊入侵烏克蘭的戰事中,其實已經明確的呈現出軍事與網路攻擊混合的現況。

只是,這些網路攻擊帶來的危害,並不像現實砲火顯著,但這些網路攻擊有何不同?Google威脅分析小組資深總監Shane Huntley指出,在這場衝突下,有三大網路威脅面向最值得優先關注,包括:政府支持的網路攻擊者、影響輿論的行動(Influence Operations),以及網路犯罪。

對於臺灣而言,我們必須體認到,這些攻擊者多年來都不願停手,持續對烏克蘭發動網路攻擊,亦在網路影響公眾意見,並在戰時提高網攻力度。

焦點一:政府支持的網路攻擊者(Government-backed attackers)

關於政府支持的網路攻擊者的威脅,Shane Huntley表示,做為Google旗下眾多安全團隊之一的TAG小組,他們秉持保護Google與全球用戶的使命,早在13年前就已經開始展開。這是因為,Google在2009年遭到政府支持的駭客組織攻擊,為了應對這些威脅,當時便成立了TAG小組。因此,他們的團隊在這方面相當有經驗。

在最近一年,俄羅斯入侵烏克蘭的衝突之下,Google也積極保護烏克蘭的用戶、協助烏克蘭的政府,持續使世界變得更安全。而在這些安全防護工作的背後,TAG看到了各種APT攻擊,以及受政府支持的網路攻擊行動、網路間諜活動,而經過長時間的研究分析之後,他們發現4個主要現象。

首先,Shane Huntley指出,早在發動入侵之前,其實,俄羅斯的網路攻擊準備工作,就已經開始進行。

回顧俄羅斯政府支持的攻擊者行動,可以知道這樣的狀況。根據過去10年Google對俄羅斯發動網路攻擊的觀察,烏克蘭一直是俄羅斯主要目標。但在2022年戰事爆發前夕,俄羅斯明顯開始加強網路攻擊,針對烏克蘭的攻擊活動,要比2020年增加了2.5倍。這顯現俄羅斯對烏克蘭發動網路攻擊,投入更多的力量。

第二,在這場軍事衝突發生之後,他們觀察到一波波具有破壞性活動的惡意軟體,襲擊烏克蘭,這是與以往攻擊最大不同之處。

值得我們留意的是,這些攻擊者的實際攻擊對象,並不只是大家認知的軍事重要目標。例如,俄羅斯不僅攻擊烏克蘭的國防部與外交部,也針對市政府、司法部門、鐵路,以及關鍵基礎設施等,進行網路攻擊。其主要目的就是,藉由襲擊民間基礎設施,企圖破壞當地民眾對政府的信任。這其實也意味著,層出不窮的網路攻擊行為,其實也鎖定了烏克蘭民眾的日常生活。

第三,這是一場範圍更廣泛的網路攻擊行動,更多國家也成為目標,遠遠超出戰爭的邊界。儘管大家注意到,實際的戰事可能集中在烏克蘭邊境,但各種衝突與攻防的發生並不僅是表面看起來的那樣。

例如,北約國家用戶面臨到更嚴重的針對性攻擊。根據Google的觀察,俄羅斯鎖定北約國家用戶的攻擊,增加了3倍之多,而白俄羅斯政府支持的駭客組織PUSHCHA,也是主要攻擊者之一。

第四,雖然國際間有很多預測提到:在俄羅斯持續發動網路攻擊之下,將立即看到基礎設施遭破壞性攻擊,但Google的觀察結果是:這些針對CI的攻擊,成功率並不如大家想像得那麼高。

談到這裡,關於破壞性網路攻擊(Destructive Attacks),Shane Huntley認為,許多人可能都忽略一件事:若要實現破壞性攻擊,實際上,必須先獲得目標系統的存取權限,才能執行惡意資料刪除軟體,因此並非一發動攻擊就結束,其實,破壞性攻擊只是進階持續攻擊最後階段。

此外,有許多人擔憂這種破壞性攻擊,會擴散到北約或美國之外,這樣的推論是可以理解的,不過,實際上,TAG小組並未看到這種情況明顯發生。

整體而言,他們發現相當多國家支持的網路攻擊活動存在,而且,這些網路攻擊者其實各有各的任務。例如,經過他們的分析,有些組織的行動只針對烏克蘭,有些則擴展到澳洲、南美洲、中東與東南亞。而從針對產業類型與攻擊行動類型來看,有些攻擊者專門針對重要目標,鎖定政府、軍事發動網路攻擊,也有一些攻擊者主要從事間諜活動,有的則同時進行影響輿論行動與實際破壞性攻擊,以及少數組織專門施以破壞性攻擊。

不僅如此,這些攻擊活動不只是俄羅斯在幕後發動,白俄羅斯政府支持的駭客組織也在這場戰事上發揮了重要作用。

而從今年2月TAG發布的研究報告來看,這些威脅攻擊組織主要有6個,其中5個由俄羅斯政府支持,分別是Sandworm、Fancy Bear、Callisto Group、UNC2589,以及Uroburos,另一個是白俄羅斯政府支持的PUSCHA。

針對俄羅斯入侵烏克蘭事件,Google TAG小組分析了俄羅斯與白俄羅斯政府支持攻擊者的網路威脅行動。(圖片來源/Google)

關於俄羅斯政府支持的攻擊者發動的網路釣魚行動狀態,Google在2021年的4月、9到11月,以及2022年1月,都觀察特定俄羅斯組織對烏克蘭發動廣泛的攻擊,到了2022年2月,俄羅斯入侵烏克蘭戰事爆發,更是有多個俄羅斯組織從2到10月持續鎖定烏克蘭發動網路釣魚攻擊。(圖片來源/Google)

焦點二:影響輿論行動(information operations,IO)

從影響輿論行動面向來看,俄羅斯之前就透過網際網路、積極用此手法影響美國選舉,因此,在入侵烏克蘭的行動中,他們再次利用這類手法動搖民心,也在眾人意料之內。

TAG也確實觀察到俄羅斯大量用各種網路影響輿論行動,以影響有關這場戰爭的公眾認知與看法。

例如,俄羅斯的影響輿論行動,首要影響的對象是該國民眾,以維持國內對發動戰爭的支持,並用公開或隱蔽機制,以國家媒體或更換名稱的國家媒體的形式出現,或是假裝成真實用戶來影響大眾心理,而這類型的行動的確明顯增加。

特別的是,Shane Huntley也透露他們實際追蹤的情形。基本上,兩邊的愛國主義者都希望參與並發聲,希望能為自己的國家做些什麼,但在許多情況下,這些活動的發起,也使得整體事件回應的進行,以及對於局勢的理解,變得更加複雜。他舉例,TAG追蹤標準的國家級駭客行為,也追蹤愛國青少年可能下載駭客工具,或參與其中,也發現有許多指導業餘駭客的行為。

面對這樣的情形,Google也在設法因應,而在這一年內已祭出許多措施,以打擊這些影響行動的發起組織,包括:打擊散布操弄資訊、以網路研究機構為名的Prigozhin組織,以及一家看似俄羅斯的顧問公司,實際卻代表俄羅斯政府進行公關活動的公司,而在2022年,Google也暫停俄羅斯政府資助的媒體在其平臺的獲利。具體而言,這些反制行動的進行,大大減少了俄羅斯政府在Google平臺的影響力。

Shane Huntley強調,他們持續密切觀察輿論影響的活動,並將這些活動進行分析與關聯,目的就是確保自家平臺上的辯論與討論是合法進行的,而非由政府支持的威脅行動者主導,因為Google相信自由表達,但這些不應該是偽裝成他人來煽動。
至於目前狀況如何?Google看到這些輿論影響的內容,有超過9成是以俄語撰寫,顯然在戰事持續下,俄羅斯聚焦在獲得國內民眾的支持,但要注意的是,全球亦有不少俄語使用者同樣會受到這些宣傳的影響。

針對俄羅斯入侵烏克蘭事件,Google TAG小組分析了俄羅斯影響輿論行動有多個發動者。(圖片來源/Google)

焦點三:網路犯罪

在網路犯罪的面向上,Shane Huntley表示,當我們一提到勒索軟體,可能會馬上聯想到俄羅斯,不過,實際上還有一定數量的烏克蘭人參與其中。

他以惡名昭彰的駭客集團「Conti」為例,之前該集團有這兩國的人參與網路犯罪。不過,當其中一國入侵另一國時,這個組織解散了。儘管對於全球而言,很高興看到如此分崩離析的情況,但後續也出現一些組織,以更具愛國主義的方式團結在一起。

例如,這些前網路犯罪組織成員,積極利用垃圾郵件、假冒更新名義的釣魚郵件,來針對烏克蘭的公營與民營組織。因此,烏克蘭仍然是他們的主要攻擊焦點,而且其行動不斷演進,不僅是攻擊目標變得更加複雜,同時這群人也在學習技能,持續進行間諜活動,以支援他們的軍事行動。

這也突顯出,原本以利益導向的犯罪組織,也參與到其中。整體而言,我們必須要意識到:網路攻擊將在未來國際武力衝突之下,繼續發揮影響整體戰局發展的重要作用。

中國政府支持的攻擊者也對烏克蘭發動攻擊,並迎合俄羅斯內外宣發動輿論影響行動

對臺灣而言,我們要知道俄羅斯攻擊不只涵蓋歐美各國,也影響中國的網路攻擊,以及影響輿論的行動。

Shane Huntley表示,在戰爭開始時,Google實際看到來自中國政府支持的攻擊者,對烏克蘭組織進行攻擊,而且,他們也加入輿論影響行動,散布符合俄羅斯論調的資訊,傳遞支持俄羅斯、反對烏克蘭,並且加入更多批評美國與西方的內容。

因此,我們必須意識到,這是複雜的環境,面對一場國際衝突,不僅要當心眼前的對手,還可能要同時應對來自世界另一端、採取完全不同網路攻擊方式的威脅。

整體而言,大家過去可能已經看過一些相關的分析報告,說明這場戰事對網路威脅的影響與變化,而Google本身也在今年2月發布兩份報告:Fog of War,以及更新報告),Shane Huntley也對此提出簡要說明,讓我們更清楚這場戰事背後的網路世界究竟發生那些事。

有了這樣的認識,我們能夠更周延地考量,認知衝突時期如何面對未來的威脅,以及因應未來我們需要做哪些準備。

同時,他強調,在這場持續性戰事中,支援俄羅斯軍事行動的網路攻擊,有很大部分的攻擊,並非找出並利用零時差漏洞,而是透過大家長期應對的資安威脅進行,不論是網路釣魚、惡意軟體與攻擊手法。

因此,近年IT安全方面的強化,明顯聚焦在雙因素身分驗證和零信任原則,而這些資安防護的陸續推動,都應該成為基本原則。

事實上,過去我們也看到Google在這方面有諸多行動,例如,Google在2014年就開始支援FIDO U2F身分認證,對零信任架構發展,提出實踐方法,過去一年Google也分階段對用戶啟用兩步驟身分驗證,與微軟、蘋果合推基於FIDO的Passkey,持續強化帳號登入安全。因此,Shane Huntley提及的這些工作,其實也是Google持續在做的事。

此外,Shane Huntley指出,我們需要注意的是,具有破壞力的惡意軟體,是現代戰爭的一部分,這是攻擊者可能會利用的選項。整體而言,不論是間諜軟體情報蒐集,或是破壞性攻擊,或是輿論影響力的攻擊策略,其目的都是為了在戰場獲得優勢。
這其實意味著,攻擊者會在不同的面向去調配資源,因此,對於防禦者而言,必須採取更廣泛、有效率的方法。

而在演講最後的結論中,Shane Huntley提醒大家,要像攻擊者一樣廣泛思考,考慮所有的方式、地點,以及可能的攻擊目標,從而制定有效的防禦策略,也需體認彼此的共通點,那就是:不論是身為攻擊者和防禦者,始終都會面臨資源有限的情況。

俄政府支持的駭客組織所攻擊的目標,比大家想像的更多且更廣泛

在演講結束之後,我們也訪問遠道而來的Shane Huntley,想請他多談談對於當前資安威脅態勢的看法。他再次強調,這些國家支持的攻擊者持續存在,戰爭衝突期間也不例外,TAG團隊看到網路威脅不斷升級,2021年就對組織與個人發起數量更多的網路釣魚活動。

而在衝突開始後,TAG也看到網路攻擊活動的新變化,包括出現大量的輿論影響行動,以及破壞性的資料刪除攻擊活動,各種方式都成為俄羅斯的手段,而且,不只是針對烏克蘭,也針對北約陣營而來。

由於Google觀察到俄羅斯在戰事開始前,2021年就有多起網路攻擊行為,因此,我們也詢問TAG小組這方面的觀察。

Shane Huntley指出,這可能就是一種預先部署,試想,如果想發動破壞攻擊,不會在達到效果那天才開始研究目標,因此,通常會事先做好啟動準備。而從防禦戰略來看,意圖對於軍事行動來說非常重要,而具有軍事相關背景的人都知道,了解敵人是任何軍事行動的重要關鍵。

因此,相對地,這時我們就能想像到,如果對方傾向與我們維持友好的互動關係,就不會持續發動網路攻擊,並且加大攻擊力道。

另外,Shane Huntley這次揭露俄羅斯在網路攻擊的作為,不只是要讓全球政府注意,需應對其他政府支持的網攻,事實上,Google看到更多民眾與企業組織都已成為攻擊目標,包括許多人的Google帳號受到攻擊,擁有知識財產權的組織遭攻擊,以及許多關鍵基礎設施也遭到攻擊。

因此,受到政府支持攻擊的目標,要比普遍人們所想的要多,而且,這已經是常態,並且會在衝突時期變得更猛烈,不論是發動網路釣魚攻擊、發送惡意軟體,透過社交工程伎倆欺騙使用者,以及針對未修補的漏洞入侵。

談完烏克蘭所面臨的網路攻擊以及輿論影響威脅,對於臺灣而言,如何強化自身的資安防禦?Shane Huntley建議,我們可以聚焦於零信任、安全設計、多因素身分驗證,減少攻擊面等基礎,並在這個基礎之上,建立安全的網路與系統,開始考慮更進階的防護措施。

更重要的是,臺灣要意識到可能成為攻擊目標,而有足夠的防禦準備。從他的這番話中,我們也聯想到,這與每個國家成立軍隊、具有保家衛國的目標是一樣的。

同時,這不僅是政府的責任,也要讓每個人意識到自己有這樣的責任。

對於Google而言,他們也在持續保障自身用戶安全,現階段Google的重要任務,是讓用戶不容易犯錯,使用系統時,預設就是要安全。

以Google要求員工使用實體安全金鑰(Security Key)為例,這不僅是讓員工登入不再面對密碼是否安全等問題,更重要的是,讓網路釣魚攻擊變得幾乎不可能;而像是Chrome瀏覽器的自動安全更新,也讓用戶處理更新修補變得簡單。

不僅如此,我們知道Google近年致力於開源軟體安全,對於這方面,臺灣是否也能做些什麼?他認為,這就像一場團隊運動,臺灣可以從不同方面提供安全,例如臺灣在科技產品製造,具有很強大的專業知識,我們可以思考如何讓臺灣生產的產品或軟體,更加注重安全,以及在全球範圍做出各種貢獻,確保安全成為最重要的優先事項,這將會帶來巨大的回報。

Google威脅分析小組資深總監Shane Huntley在CYBERSEC臺灣資安大會第一天現場,說明這場衝突下有三大網路威脅面向值得重視。(攝影/iThome)

熱門新聞

Advertisement