世界网战一级战区：APT 攻击一波波看似守也守不住！台湾受骇

阅读330

「HITCON」，Hacks in Taiwan Conference  台湾骇客年会，是台湾最大的资安研讨会。今年第 9 届台湾骇客年会主题是「Cyber War」。因为这个这场战争愈打愈激烈，偏偏还有很多人还没意识到烽火早已燃起，大多数的人更不知道自己身处一级战区，成为「受骇者」。

我们曾在会前写了一篇报导，试图挑起大家的危机意识，请见：〈 无声的世界网战正在开打，想了解全球战情请看「2013 台湾骇客年会」〉。

第 9 届届台湾骇客年会上，来自全球资安领域的骇客专家齐聚一堂，全球 Cyber War 战情究竟如何？无声的世界网战，在我们看不见也听不到的状况下，剧烈开打。刚结束的骇客年会上，来自全球的资安专家说，台湾就在一级战区内，面对严厉的攻势，台湾的防御战力如何？

从政府机关到一般企业全都受骇，台湾是 CyberWar 的前线战区

来自卢森堡、一手打造 malware.lu 恶意软体知识库的知名资安研究者 Paul Rascagnere ，在本届年会上分享他追蹤一个被称为「APT1」骇客组织的研究结果，在众多「APT1」的受骇名单中，赫见不少台湾公司。

在 Paul Rascagnere 公布的受骇名单上，「tecom.com.tw」、「ZyXEL.com」、「nkmu.edu.tw」……都上榜（见 HITCON 公开资料 P.39），眼尖的资安人员立刻发现，受骇名单上有许多是台湾电信设备商，其中一家公司甚至跟军方有合约，一旦骇客窃取到他们公司的技术文件，就有可能找到漏洞，利用漏洞攻击使用该设备的军方单位。

不只 Paul Rascagnere 的研究，本土资安专家的研究资料也显示，台湾政府确实曝露在 CyberWar 中最常见的 APT 攻击之下。

由中研院计算机中心资安组组长和台湾资安研究公司 Xecure Lab 共同报告的「APT 网际飞梭：从自动化分析到拆解 APT 后台骇客活动」，也揭露了一个被称为「APT 101」的骇客族群的活动，而台湾就是他们的主要攻击目标。

根据这份研究，「APT 101」相当有组织，每个发出去的恶意程式都要经过「编码」，也因此我们可以透过分析编码，看出他们的目标对象。举其中一个编码为「UX-ZD1023-MXXXXXB」的恶意程式为例，ZD 是这个恶意程式的名称、1023 是製造的时间、MXXXXXB 就是受害者的代号，而这正好是台湾一个政府部会的缩写。（按：XXXXX 为马赛克，因为不希望大家把重点放在该单位上，欲知详情可洽其他参与活动的骇客们）

「APT 101」最早在 2007 年就有活动记录，而根据 Xecure Lab 在近两年内的蒐集到的资料，「APT 101」至少控制超过 5800 台电脑、分布在 30 几个国家，光是台湾至少就有 3037 台 ，而美国有 225 台、南韩有 82 台，另外有 2038 台无法确定是不是台湾。

既然台湾是骇客锁定的对象之一，我不禁担心，「台湾守得住吗？该不会我们的资料都被人家看光光了吧？」

连问几个骇客、资安人员，有人笑而不答；有人神秘的笑了笑，反问「你说呢？」；有人保守的跟我说，「我们没有证据，而被骇的人也不可能承认被骇，但依照我们的研究发现，应该是这样啦。」

你不能不知道的 Cyber War 作战手法：APT 攻击

不过，政府机关和企业里，多有自己的网管，电脑中也有安装防毒软体，小公司和个人的电脑中也有防毒软体，为什幺还会被骇客入侵？

明枪易躲、暗箭难防。Cyber War 中最恐怖、最严重的攻击手法，「APT」，就属于暗箭的那一种。

APT，Advanced Persistent Threat，中文译作「进阶持续性渗透攻击」。採用 APT 攻击型态的骇客族群具有绝对的针对性，而他的目的通常都是偷走目标对象的资料。因此，骇客一旦锁定了攻击目标，就会无所不用其极的攻击，而且是持久战，一天、一个月、一年都跟你耗；他也会使用极为轻巧的手法，让你很难察觉自己被攻击，甚至被攻破了。

韩国数家银行、保险公司及电视台被骇的 320 事件；年初 Evernote、Twitter、Facebook、Apple 以及 Microsoft 等多家知名科技公司被骇；5 月初台湾政府公务机关的电子公文交换系统（eClient）被骇，这几起重大的骇客攻击事件，骇客用的都是 APT 攻击型态。

APT 攻击型态三步骤：攻击、控制、扩散

因为发动这类攻击的骇客目的是偷取资料，所以攻击模式不是大张旗鼓的打进来、瘫痪网站，相反地，APT 攻击讲究静悄悄，蹑手蹑脚的偷取资料。常见的攻击方式有这三种：

在骇客成功攻进电脑后，他会在电脑中植入恶意程式、后门程式，让你的电脑连上骇客使用的命令与控制伺服器（C&C Server），以便能长期潜伏在你的电脑中，窃取你的资料；他也会窃取你的帐号密码，轻鬆登入公司系统。到了这一步，他的耐心还没用完，他还要透过内网，持续进攻、渗透其他台电脑，一步步取得最高权限、最机密的资料。

病毒会伪装、会互相帮助，杀也杀不完

除了进攻的方法千奇百怪之外，恶意程式潜伏的功力和集团管理模式，也打趴多数防毒软体。

发动 APT 攻击型态的组织，也擅于把恶意程式伪装得不让人察觉，曾经有骇客利用 Adobe Flash 的弱点夹带恶意程式，并夹在信件附档中寄发出去，结果经资安公司测试，42 家防毒软体业者中， 只有 6、7 家侦测出来信件中的附档带有恶意程式 。

APT 攻击难防的其中一原因是，当骇客攻进受骇者的网路之后，会在内网组成一个「集团」来管理，如果有一台电脑中的恶意程式因为执行不正常的动作，例如回传档案给 C&C Server 而被防毒软体查杀，那幺集团内的其他电脑会再把恶意程式安装到那台电脑里；又或者，骇客会在一台电脑中安装多个恶意软体，当防毒软体查杀其中一个，剩余的恶意软体会自己连上 C&C Server 下载、补齐。

手法不断翻新，这种长久战、心理战，具有千变万化手法的 APT 攻击型态，真的防不胜防。骇客年会总召蔡松廷（骇客圈中人称他「TT」）就说，「你现在都没漏洞、打不进去没关係，但我不放弃，因为你是我的目标，等到哪天你有了新的伺服器上线，或是有了新的人，那我就打新的伺服器、新的人，搞不好就会有新的漏洞出现。」

要发动长久战，不是人人玩得起，通常 APT 攻击型态都是政府所支持的。很多国家、大企业之间早已培养骇客军团，防御之外，也互相攻击，以窃取国防机密、商业机密。

趋势科技拍了一支影片介绍 APT 攻击型态，短短五分钟的影片，会让你有种在看谍报片的错觉，但这是真实案例。请看：〈APT 攻击: 一场没有中立国的战争 (真实案例模拟)〉：

发动战争的是谁？台湾是 Cyber War 的前线战场吗？

在追蹤「APT1」这个骇客组织时，Paul Rascagnere 有个有意思的发现。「APT1」发动攻击的时间通常在星期一到星期六、卢森堡时间凌晨 2 点到早上 10 点。卢森堡时间比中原标準时间晚 6 个小时，因此推算下来，APT1 的攻击时间是中原标準时间早上 8 点到下午 4 点，也就是上班时间。

有群骇客在标準的「上班时间」发动攻击，台湾资安研究人员很早以前就发现了，周一到周六，每天都会有很準时的攻击行为，从早上 8、9 点开始，到了中午吃饭时间就逐渐减少，中午吃饭时间结束后攻击又开始了，直至 4、5 点下班时间渐渐停歇。

这样的攻击行为，很难让人不去怀疑是我们旁边、跟我们有着同样时区的「骇客公务员」，或着是人们常说的「中国网军」，在发动攻击。有不愿具名的资安人员透露，中国放五一、十一连假时，这波準时的骇客攻击也会跟着放假。

也有媒体报导， 台湾是全球对抗网路攻击的前线 ，是中国骇客攻击美国前的练兵场。只要在台湾看到一个新的网路攻击手法，六个月后，就会在美国看到同样的攻击。台湾受中国网军攻击的程度可见一斑。

不过 Paul Rascagnere 说，「APT1」这个骇客组织的 IP 位置确实是来自香港，但他不能肯定就是中国骇客，「也有可能是有人在香港买一个伺服器。」然而在简报的最后，他加上一句前中共主席毛泽东说的话，「The only real defense is offensive defense.」，最好的防御，就是进攻。

除了 Paul 看似意有所指的言论，这一届骇客年会的开场演讲，就由任职于美国智库、国际认可的中国解放军资讯战专家 William  Hagestad II 大谈中国、俄罗斯和伊朗三个共产国家的「网军」。他提出许多骇客事件的报导及领导人的发言来证明，中国确实在发展网路国防、间谍及攻击行为。

William 指出，中国在 1995 年开始打资讯战，2010 年开始有官方的网路作战指挥部；他也引用 IT 安全服务商 NCCGROUP 的报告，说明中国是全世界第二大的骇客活动发源地，佔 13.7%。

在另一场演讲中，中国颇富盛名的资安专家万涛则提出反驳看法，「中国骇客只是有心人士炒作下的神话」，那些源自中国的骇客攻击，都是怀抱着民族主义的「愤怒青年」做出来的个人行为。

他更直咬最近遭爆料的美国国安局监听通讯计画，「PRISM」（稜镜计画），指美国才是最大的骇客，以为自己是网路的保护者、随意监控他人。事实上，上述 NCCGROUP 做的骇客活动发源地调查中，第一大骇客活动发源地就是美国，佔 17.55 %。

一位不愿具名的资安专家不以为然的表示，中国这幺一个集权主义的共产国家，有可能放任技术高超的骇客在路上满街跑，不把他们抓来当军队用吗？在美国、欧洲，政府要跟大企业竞价，才能招募到优秀的骇客；但在中国不用，国家叫他来他就得来。

APT 世界大战打得火热，台湾的网路国防準备好了吗？

面对暗箭难防的 APT 攻击型态，Xecure Lab 首席资安研究员邱铭彰（骇客圈中人称他「Birdman」）说，「APT 行动没有尾声，只有更深！APT 防护没有撇步，只有更强！」

面对来势汹汹的全球政府与企业单位所组成的网军势力，Cyber War 真的天天都在上演，而在战争中要比人家更强，是需要国家动员、需要国防战备武器、需要有受过精实训练的军队、也需要人民随处于警戒状态。

台湾準备好了吗？

（图片来源：Hacks Taiwan 相簿）