由左至右分別是Google Cloud Mandiant Intelligence首席分析師John Hultquist、Google Cloud Mandiant行政總裁Kevin Mandia、Google Cloud Mandiant Intelligence主席Sandra Joyce

【mWISE 2023美國華盛頓特區報導】

「1995年我們調查一起中國駭客入侵事件,循入侵路徑調查攻擊者IP,才反查一個連線點就查出IP位於中國上海,很快就能判定為中國駭客。」Google Cloud Mandiant行政總裁Kevin Mandia說:「但是,近年來中國的網路攻擊戰略已經大幅轉變,他們的攻擊能力與匿蹤能力已不可同日而語。」

Mandiant在2013年發布全球第一份指證中國軍隊涉及網路攻擊的「APT 1」調查報告,他們追蹤駭客攻擊足跡,證實位於上海市浦東新區的中國人民解放軍61398部隊就是中國的網軍部隊,因而聲名大噪。

「中國的網路攻擊能力已經到達一個全新境界。」在APT 1報告問世十年的時刻,Google Cloud Mandiant Intelligence主席Sandra Joyce在mWISE 2023的媒體簡報會上說:「中國現在已經有能力策畫出,連我們(Mandiant)都要花好幾個月時間才能弄清楚的網路攻擊行動。」因而Mandiant已將中國提升到第一級網軍國家。

Mandiant對中國駭客攻擊手法轉型的調查總結三大轉變,包括系統性挖掘零時差漏洞(Zero Day)、利用網通設備的漏洞來入侵企業或組織,以及挾持家用或中小企業路由器、IoT等設備,做為攻擊跳板。

中國駭客攻擊已經逐漸捨棄社交工程手法,轉為利用威力更強大的零時差漏洞。Google Cloud Mandiant Intelligence首席分析師John Hultquist指出,利用零時差漏洞來發動攻擊,可以一次性地造成大規模的攻擊,只要是使用相同網通設備、具有相同零時差漏洞的企業或組織,就可以一網打盡。

近年來好幾起中國駭客攻擊事件,都是利用知名網通設備的零時差漏洞,諸如防火牆、VPN伺服器、郵件伺服器等,例如自2022年陸續發現Fortinet防火牆、Sophos防火牆、Barracuda郵件伺服器、Citrix ADC、SonicWall郵件安全系統、Pulse VPN等設備的零時差漏洞被中國駭客所利用。

「這些一再發生的零時差漏洞事件明白告訴我們,中國有計畫性地投入大量資源,系統性挖掘網通設備的零時差漏洞。」John Hultquist說:「我相信他們一定有個專門研究零時差漏洞的實驗室,甚至有可能是好幾個實驗室。」

中國在2021年實施《網路產品安全漏洞管理規定》,要求任何人發現或得知網路產品安全漏洞,皆須通報中國工業和信息化部,不得自行公布。此舉也讓外界質疑中國可能藉此暗藏零時差漏洞,做為日後發動網路攻擊之用。Sandra Joyce指出,今年截至目前為止總共發現62個零時差漏洞被用於駭客攻擊,而中國占了其中一大部分,「根本就是製造零時差漏洞的機器。」

中國網路攻擊另一個重大的轉變,是建構一個擴及全球的網路攻擊跳板。中國駭客利用不安全的家用路由器、中小企業的辦公室路由器或連網IoT裝置,先行入侵這些設備,將其組成一個龐大的傀儡網路。在一起美國軍事機構駭客入侵事件中,首先追查到的攻擊來源是美國境內的家庭路由器,再往後追查又是很複雜的網路跳接,就會讓整個調查行動進度緩慢。John Hultquist指出,現在中國駭客可以從全球任何一個地方發動攻擊,以混淆視聽,達到掩飾的效果,讓調查人員難以溯源追查。

中國網攻的大轉變仍在進行中,Sandra Joyce說:「在這種情勢下,地緣政治事件將導致網路攻擊事件,已是必然的趨勢。」

熱門新聞

Advertisement