中國對台灣的威脅早已從軍事力量跨入看不見的網路攻擊,而且攻擊對象從科技業、政府機關至油水電等民生基礎設施無所不包。
今年5月中油全台加油站大當機至少三天,背後就是中國駭客所為,法務部調查局攜手美國聯邦調查局(FBI),花了三個多月終於破案,揪出幕後的五位中國駭客及涉案的兩位馬來西亞業者。
值得注意的是,中秋節連續假期將屆,而本案就是發生在5月勞動節連續假期後的第一個上班天,且駭客犯案前已經在中油網路內潛伏多時。
國內資安業者奧義智慧共同創辦人邱銘彰提醒,「所有的連假都是大陸(駭客)攻擊我們政府機關最重要的時刻」,希望大家意識到資安威脅無所不在。
全台加油站5月4日大當機 調查局當天就開始緝兇
法務部調查局本月18日舉行記者會,宣布台美聯手破獲駭客組織Winnti Group以勒索軟體攻擊「我國重要能源公司」一案,駭客不僅侵入內部伺服器及個人電腦,更有大量檔案被加密而無法使用,駭客甚至向該公司勒索贖金。
調查局於案發當天就成立專案小組追查,研判駭客是租用在美國境內的雲端主機(VPS)作為入侵中油的跳板。調查局將相關資料轉交美國司法部門,並由美國司法部檢察官8月11日起訴七位涉案人,調查局則是到9月16日才將全案解密。
▲調查局說明5月中油遭駭客攻擊之手法及途徑。(圖片來源:調查局)
調查局說明,中國駭客透過以下六個步驟攻擊中油及其他國內科技業者:
第一,透過網路伺服器及員工電腦等途徑,進入公司內部潛伏及刺探
第二,竊取高權限帳號後侵入 AD伺服器,利用其派送功能將勒索軟體散佈至全公司電腦
第三,將相關資料回報位於美國境內的VPS主機
第四,駭客凌晨竄改公司群組原則,並在公司內部伺服器預埋惡意程式lc.tmp
第五,隔天員工上班打開電腦後,立即套用群組原則、下載工作排程,設定在上班時間將lc.tmp載入記憶體執行
第六,員工電腦資料被加密後,螢幕顯示勒索訊息及連絡電郵
▲奧義智慧共同創辦人邱銘彰推估中國駭客攻擊中油的時序。(圖片來源:劉煥彥攝)
奧義智慧共同創辦人邱銘彰8月11日在台北舉行的「2020台灣資安大會」做專題演講時,以奧義彙整中油加油站大當機的相關公開資訊(奧義並未參與中油正式調查),提出了對本案的個人分析。
從時序上來看,他推估駭客在潛伏多時後,在4月27日及29日分別裝了兩次後門程式,接下來是連續三天的勞動節連續假期。
奧義智慧:連假時資安專家放假去 就是大陸駭客出手時
5月3日深夜駭客啟動勒索程式,隔天是收假後的第一個上班天,勒索程式開始攻擊,中油等企業開始傳出災情。
邱銘彰在演講時說:「你要知道,所有的連假都是大陸(駭客)攻擊我們政府機關最重要的時刻,因為有能力的人都去放假,剩下值班的人都是菜鳥,或是剛進社會的新鮮人,這時候要call人調查也找不到人,因為專家已經去放假。」
奧義智慧:別以為只是勒索軟體 而是要打亂台灣民生
他也認為,這就是針對加油、自來水或電力等基礎民生設施的網路攻擊,而非單純的勒索軟體攻擊,「這群駭客是要讓我們難看,他目的是要讓大家不能加油,造成民生、經濟的動盪,造成輿論的壓力」。
邱銘彰分析,這批駭客顯然對我方的關鍵基礎設施熟門熟路,早就也高權限帳戶,但備而不用,「等到要操作台灣安全的時候,就進來破壞」。
他也說:「這種攻擊很可怕,今天能破壞電腦,也可以破壞加油站,可以做很多可怕的事情,是很嚴重,因為這是針對關鍵基礎設施的APT(advanced persistent threat,進階持續性威脅)攻擊。」
「資安很重要,但忙起來常常不要」
然而,儘管台灣受到莫大網路攻擊威脅,國人不見得對此都有清楚認識。
國家安全會議諮詢委員李漢銘7月底在《今周刊》主辦的「台灣大未來.十年新變局」高峰會的資安防禦專場演講時就提到,今年資安成為防疫之外的另一個顯學,資訊安全局面變化大、重要性高,但被侵害的企業、組織或個人,不見得會意識到,但沒意識到不代表沒發生。
他說:「在台灣大家常常講,資安很重要,但忙起來常常不要,所以,雖然是顯學,其實不太受到重視。」