文/吳其勳 | 2025-05-07發表
圖片來源: 

由左至右分別為Google威脅情資副總裁Sandra Joyce、Google威脅情資首席分析師John Hultquist、Google Cloud資安長辦公室資深總監Iain Mulholland、Mandiant Consulting技術長Charles Carmakal

近年來中國對臺網路攻擊力道不僅未減,更持續將攻擊目標擴及全球多國政府與民間企業。在美國RSAC 2025資安會議期間,Google在一場針對媒體的資安情資分享會上,將所有討論焦點都放在中國與北韓問題上,而絲毫未提蘇俄與伊朗,就充分顯現中國威脅已成為全球資安最重大的課題。

資安業界堪稱APT(Advanced Persistent Threat)調查專家的Mandiant,在過往舉辦的資安情資分享會上,通常都會揭露蘇俄、中國、伊朗及中國等網攻四大寇的最新攻擊手法,不過,在今年四月底這場情資分享會上,主持座談的Google威脅情資副總裁Sandra Joyce(曾是Mandiant執行副總裁),一開場就直接切入中國網路攻擊的問題,她說:「中國近年來持續展現出最有創新性的網路攻擊手法。」如今,中國針對西方國家所發動的網路間諜攻擊行動,不論是數量與強度,都達到了空前的高峰。

自從Mandiant在2013年發布APT 1報告,揭露駐扎於上海市浦東新區的中國人民解放軍61398部隊就是中國的網路攻擊部隊之後,Mandiant Consulting技術長Charles Carmakal指出,中國一直持續發動網路間諜攻擊,而且即便美國前總統歐巴馬在2015年與中國簽署互不入侵對方企業網路竊取商業機密的協議,也無助於緩解情勢,他表示,時至今日,中國針對西方企業的網路攻擊與間諜入侵行動,在數量與強度上都飆升到了前所未有的程度。

Carmakal指出,現今中國網路攻擊鎖定的目標,幾乎都是中國政府感興趣的對象,比如半導體公司、資訊科技公司、電信公司、政府機關及國防承包商等。如今中國的網路攻擊手法已經不像2015年前那樣大範圍胡亂掃射,而是更聚焦在與中國國家戰略目標高度相關的特定產業與特定組織機構。

近年來中國網路攻擊行動已經不再仰賴釣魚郵件等傳統入侵手法,轉而先研究各類資訊產品的漏洞,尤其是一些企業網路與資安防護產品,再利用這些漏洞進行更致命、更難察覺的零時差攻擊(Zero-day exploit)。

據Google的調查,中國政府主要透過二種方法掌握資訊產品的漏洞,Carmakal指出,第一種方法是直接購買這些資訊科技產品,透過逆向工程方式進行研究,以找到產品的弱點與軟體弱洞;另一種方式則是透過中國法律獨有的「國有漏洞」制度,據2021年中國發布的《網路產品安全漏洞管理規定》,任何中國公民發現某個產品存在資安漏洞,必須向政府通報,而且不得將未公開的漏洞資訊提供給供應商以外的境外組織與個人,也就是說,任何由中國人民發現的資安漏洞,都將被政府所掌握。
Google威脅情資首席分析師John Hultquist則指出,中國甚至在國內大規模舉辦漏洞發掘競賽,讓參賽者彼此競爭,以找出更多商用資訊產品的漏洞。

目前已經有多起事件顯示資訊科技公司遭中國駭客入侵潛伏,Carmakal指出,有好幾家資訊科技公司的內部團隊發現了自家產品資安漏洞之後,遂將相關細節記錄在公司內部的Jira軟體開發專案管理平臺或漏洞追蹤平臺,以便進行後續修補追蹤。然而,Google的團隊卻發現,在這些資訊被記載後的一至兩週內,中國駭客組織就已經迅速將這些漏洞「武器化」,據以發展出惡意程式,並且開始發動網路攻擊,而此時資訊產品原廠甚至還不知情,也來不及釋出修補更新。Carmakal表示,由於近來這類事件屢見不鮮,必須格外密切關注。

Hultquist進一步表示,更讓人擔心的是中國政府已經建立一個完整的生態系統來支援網路攻擊行動。這個生態系統涵蓋了各種參與者—包括民間承包商、學術界人士和政府官員等,而這個生態系彼此協調一致的程度,就好像是共同參與一個謓密的彈道飛彈開發計畫,只不過目的是開發網路攻擊所需的各種能力,然後回饋給政府使用。

這些能力包括發掘零時差漏洞,甚至建立用來進行指揮與控制(Command and Control, C2)網路攻擊行動的基礎設施。這其中有些承包商可能專門負責建構用來執行C2操作的網路基礎設施,再提供給多個駭客攻擊組織共用。另外也有些承包商,專門依據來自政府的委託執行網路入侵行動,而且可能同時替多個委託單位工作。

在這個生態系統中,有些攻擊者會以最簡單、最直接的方法來入侵目標系統,只要達成目的就好。但也有一批很頂尖的高手,例如第一手掌握零時差漏洞、專門針對供應鏈發動攻擊的攻擊者,Hultquist指出:「這些人才是真正讓我們擔憂,必須特別警戒的對象。因為他們也可能是政府最期待看到成果的團隊,也會被要求持續維持高度的攻擊能力。」

此外,Google Mandiant還觀察到西方國家的資訊科技公司遭受到越來越頻繁的攻擊,尤其是規模中型的公司,而他們的產品卻廣泛地被大型企業所使用。攻擊者利用這些資訊科技公司的產品漏洞、網路存取權限、數位憑證,或是其他各種手段,來入侵他們的下游客戶,也就是那些大型企業,以達到供應鏈攻擊的目的。

現在這種類型的供應鏈攻擊趨勢仍在持續升高,Hultquist提出警告:「這個龐大的生態系統正不斷被灌溉滋養而持續擴張,這導致我們很難全面追蹤這麼多的威脅。」而這個正在快速惡化的問題,也讓整體資安防禦工作變得更加困難,尤其是對手的技術越來越先進,影響範圍越來越大,不得不提高警覺。

iThome Security

熱門新聞

Advertisement