傳統由國家策動的網路間諜行動,主要窺探目標不外乎政府機關與國防軍事等機敏單位,然而資安公司Mandiant今年揭發的中國網路間諜行動卻有所轉變。事件調查結果顯示,與中國政府有關連的UNC4841駭客組織,不僅入侵多國政府機關,更染指多個民生關鍵基礎設施產業。
UNC4841駭客組織就是去年入侵Barracuda ESG郵件安全閘道器的主謀。Barracuda在今年5月對外公告其Email Security Gateway(ESG)郵件安全閘道器存在一個零時差漏洞(編號CVE-2023-2868),且自2022年10月起就被中國駭客組織UNC4841所利用,入侵其郵件安全閘道器。
根據Mandiant調查,UNC4841入侵遍及全球多個國家的Barracuda ESG郵件安全閘道器,以協助中國政府進行廣泛的網路間諜行動。UNC4841駭客組織針對鎖定的目標,寄發附帶惡意程式的電子郵件,最早可追溯到2022年10月10日。他們透過三個主要的惡意程式入侵含有零時差漏洞的Barracuda ESG郵件安全閘道器,建立後門並常駐在系統內,以達長期竊取資訊的目的。
Google Cloud Mandiant Intelligence主席Sandra Joyce表示,UNC4841此次攻擊行動比較不尋常的是,傳統網路間諜行動主要針對的目標,如政府機關、軍事國防、航太產業等,在此次網路間諜行動中僅占31%,另有22%被鎖定的目標包含電信通訊、資訊科技等負責資訊傳播管道的公司。上述這兩大類屬於第一級具高度機敏性的機構,數量加總僅占整起網路間諜行動受害者的一半,而另一半受害者則屬於第二級、一般認為較不具機敏性的產業,其中金融產業占3%(含銀行、消費金融服務),醫療產業占4%(含生技、醫療設備、公衛、照護機構),半導體產業亦占2%(含半導體、電子零組件)。
Mandiant的調查顯示,中國這起網路間諜行動鎖定的目標多達26個產業,涵蓋產業類別相當廣泛,還包括科技研發、能源、海空運輸、建築、農業、媒體、法律事務所、旅遊、零售、地產、食品製造等,其中亦包含多個東協國家的政府外交機構,以及臺灣與香港的國貿單位與學術研究機構。
這些被網路間諜行動入侵的產業,如金融、電信、醫療、高科技製造、交通運輸等,皆是重要的民生關鍵基礎設施產業。Google Cloud Mandiant Intelligence首席分析師John Hultquist指出,被鎖定的產業中有幾家海運、空運等物流運輸業者,讓人不得不聯想到2017年全球最大航運公司馬士基(Maersk)遭受NotPetya勒索軟體攻擊所造成的廣泛衝擊與影響。
2017年馬士基位於烏克蘭黑海地區奧德薩港口辦公室的電腦不慎被NotPetya感染,隨後擴散造成其集團數千臺電腦、伺服器、網路等運作陸續中斷,使得航運預訂系統、貨櫃裝載系統停擺,多處港口設施被迫關閉,數萬臺卡車的貨物無法上船,造成全球航運大亂,損失高達百億美元。當時,此一網路攻擊事件導致的航運延誤,甚至造成雞肉供應斷鏈,使得美國零售超市無雞肉可賣。
不僅海空運輸業因高度資訊化,而容易被網路攻擊破壞,其他諸多民生關鍵基礎設施產業亦是如此。John Hultquist指出,近兩年中國網攻能力大幅提升,不但積極挖掘網通、資安設備的零時差漏洞,更挾持全球各地不安全的家用、中小企業路由器,建立龐大的傀儡網路,以掩蓋其入侵行徑。同時,中國駭客又具備在入侵後採取寄生攻擊(Living off the Land)的能力,利用作業系統的合法工具程式而非可能觸發資安警報的惡意程式,以掩飾其網路滲透行蹤,製造許多讓資安專家難以追查的斷點。而今,中國網路攻擊的目標又擴大至民生關鍵基礎設施產業,John Hultquist說:「他們現在不僅能力更強大,又鎖定這些極具風險的關鍵基礎設施產業,這個處境令人非常擔憂。」
今年9月台中彰化的兩家肉品交易市場接連遭到勒索軟體攻擊,雖僅造成休市一天,未衝擊肉品正常供應,卻也突顯關鍵基礎設施的資安防護除了油水電產業,民生關鍵基礎設施產業亦不容輕忽。
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19