Mandiant示警：中國網攻大轉型

【mWISE 2023美國華盛頓特區報導】

「1995年我們調查一起中國駭客入侵事件，循入侵路徑調查攻擊者IP，才反查一個連線點就查出IP位於中國上海，很快就能判定為中國駭客。」Google Cloud Mandiant行政總裁Kevin Mandia說：「但是，近年來中國的網路攻擊戰略已經大幅轉變，他們的攻擊能力與匿蹤能力已不可同日而語。」

Mandiant在2013年發布全球第一份指證中國軍隊涉及網路攻擊的「APT 1」調查報告，他們追蹤駭客攻擊足跡，證實位於上海市浦東新區的中國人民解放軍61398部隊就是中國的網軍部隊，因而聲名大噪。

「中國的網路攻擊能力已經到達一個全新境界。」在APT 1報告問世十年的時刻，Google Cloud Mandiant Intelligence主席Sandra Joyce在mWISE 2023的媒體簡報會上說：「中國現在已經有能力策畫出，連我們（Mandiant）都要花好幾個月時間才能弄清楚的網路攻擊行動。」因而Mandiant已將中國提升到第一級網軍國家。

Mandiant對中國駭客攻擊手法轉型的調查總結三大轉變，包括系統性挖掘零時差漏洞（Zero Day）、利用網通設備的漏洞來入侵企業或組織，以及挾持家用或中小企業路由器、IoT等設備，做為攻擊跳板。

中國駭客攻擊已經逐漸捨棄社交工程手法，轉為利用威力更強大的零時差漏洞。Google Cloud Mandiant Intelligence首席分析師John Hultquist指出，利用零時差漏洞來發動攻擊，可以一次性地造成大規模的攻擊，只要是使用相同網通設備、具有相同零時差漏洞的企業或組織，就可以一網打盡。

近年來好幾起中國駭客攻擊事件，都是利用知名網通設備的零時差漏洞，諸如防火牆、VPN伺服器、郵件伺服器等，例如自2022年陸續發現Fortinet防火牆、Sophos防火牆、Barracuda郵件伺服器、Citrix ADC、SonicWall郵件安全系統、Pulse VPN等設備的零時差漏洞被中國駭客所利用。

「這些一再發生的零時差漏洞事件明白告訴我們，中國有計畫性地投入大量資源，系統性挖掘網通設備的零時差漏洞。」John Hultquist說：「我相信他們一定有個專門研究零時差漏洞的實驗室，甚至有可能是好幾個實驗室。」

中國在2021年實施《網路產品安全漏洞管理規定》，要求任何人發現或得知網路產品安全漏洞，皆須通報中國工業和信息化部，不得自行公布。此舉也讓外界質疑中國可能藉此暗藏零時差漏洞，做為日後發動網路攻擊之用。Sandra Joyce指出，今年截至目前為止總共發現62個零時差漏洞被用於駭客攻擊，而中國占了其中一大部分，「根本就是製造零時差漏洞的機器。」

中國網路攻擊另一個重大的轉變，是建構一個擴及全球的網路攻擊跳板。中國駭客利用不安全的家用路由器、中小企業的辦公室路由器或連網IoT裝置，先行入侵這些設備，將其組成一個龐大的傀儡網路。在一起美國軍事機構駭客入侵事件中，首先追查到的攻擊來源是美國境內的家庭路由器，再往後追查又是很複雜的網路跳接，就會讓整個調查行動進度緩慢。John Hultquist指出，現在中國駭客可以從全球任何一個地方發動攻擊，以混淆視聽，達到掩飾的效果，讓調查人員難以溯源追查。

中國網攻的大轉變仍在進行中，Sandra Joyce說：「在這種情勢下，地緣政治事件將導致網路攻擊事件，已是必然的趨勢。」