考量到地缘政治的风险,各国资安公司早已点出台湾关键基础设施所面临的巨大威胁。曾在美国国家安全局(NSA)任职的Fortinet公司全球资安长Phillip Quade,在2019年来台时就示警,以制造业为主的台湾,生产线上配备了许多工业控制系统与设备(ICS),一旦与IT网路相连,很容易身陷网路攻击威胁。
而在网路冲突中,骇客针对关键基础设施中的工业控制系统发动攻击,进而达到控制、瘫痪与毁灭的效果,也早就是现代化战争中的重要手段。
2009年美国与以色列合作开发出名为"震网"(Stuxnet)的电脑蠕虫(Computer Worm),透过网路攻击来摧毁伊朗生产浓缩铀以发展核武的离心机,创下全球第一起网路攻击关键基础设施的纪录。2015年,由俄罗斯在背后撑腰的骇客组织"沙虫"(Sandworm),以更加精密的手法袭击了乌克兰电力系统,导致25万人在寒冷的圣诞夜前夕无电可用。
种种迹象都显示,过去以军事设施为打击对象,能精确控制损害范围的战争,在网路战时代,已经升级成一种不分军民,专注于破坏社会运作的无差别攻击。
资安公司Fortinet在今年针对包括台湾在内的全球570名制造、能源、医疗、运输等关键设施产业人员进行调查后,得出一个惊人结论:全球75%的单位在过去12个月内都曾遭骇客入侵至少一次。
演习之后的现实:医院与军方医疗机构仍频遭网攻
卫福部辖下的桃园医院于2020年传出遭到骇客入侵,电脑被植入恶意程式、造成个资外泄。(摄影/陈晓威)
从2017年至今,针对骇客入侵的演习仍持续进行。但在频繁的攻势下,我国关键基础设施的资安防护状况仍然令人忧心。
2019年,台湾的医疗领域就曾遭逢大规模网路攻势。
2019年8月28日晚间起,电脑病毒陆续袭击了全台22间医院。在一片夹杂着白色数字的黑色画面中,"你的文件被加密了"的警语覆盖了电脑画面。画面下方紧接着是简体字写成的勒索通知信:
"不要相信任何人,除了[email protected]。杀毒软件将会删除这个文档,那么您将无法联系到我们。发送文件到邮箱,我们将会给出解密所有文件的价格。"
卫福部当时虽发布新闻强调未影响医疗业务运作,亦未发现个资外泄情事,但问题并没有那么单纯。台湾学术网路危机处理中心(TACERT)在同年年底发布报告指出,此次事件中的勒索病毒为GlobeImposter,比一般勒索病毒更有针对性。骇客将中毒电脑作为跳板,让病毒窜入卫福部电子病历交换系统(EEC)专属的VPN网路,随后开始急速扩散,影响所及包括病患资料、员工名册帐册、医疗数位影像,断层扫描病历等。这份报告并强调:"由该事件可发现许多现有医院存在资安问题。"
卫福部辖下的桃园医院也传出2020年遭到入侵,电脑被植入恶意程式、个资外泄。一位过去几年接手医院资安事件调查的资安主管Sam(化名)向《报导者》透露,台湾不少医院因为分院多而建置很多网站,因此遭受攻击的"表面积"大;再者,多数医院网站建置的时间已非常久远,更新维护意愿低,从COVID-19疫情开始后,骇客攻击的数量比以往更高。
在多次调查医疗领域资安事件后,Sam发现台湾医疗体系中,军方机构和退伍军人相关医院已是近几年网路攻击的热点,且攻击手法颇具创意。Sam告诉我们,他观察到攻击者会锁定合法的虚拟私人网路软体(VPN),将公开版本修改成有植入恶意程式或后门的骇客版本后,散布给目标用户下载。一但下载成功,骇客版本的VPN就会将连线导回攻击者处,并且将资料传输伪装成常见的模式,让骇客们得以一边潜伏窃取机敏情资,同时又能躲避防毒软体的侦测。
就在处理某医疗财团法人遭入侵时,Sam更发觉,该机构从2021年9月就被骇客植入后门,分析使用手法和工具后,可以推断出入侵源头应是与中国关系密切的骇客组织"APT41"(Advanced Persistent Threat41)。
"邪恶熊猫"与他的30组中国伙伴
2020年9月16日,美国华盛顿特区代理检察官舍温(Michael R. Sherwin)在记者会上说明5名中国公民对美国100多家公司骇客攻击,并指称这些人是名为"APT41"的骇客组织成员。(Tasos Katopodis/Pool via AP)
"APT41",这个又名"Wicked Panda(邪恶熊猫)"、"Winnti"、"BARIUM"的组织,不但成员在2020年被美国司法部正式起诉,更是少数被美国政府点名、认为背后有中国共产党支持的骇客团体。
根据美国司法部发布的新闻显示,"APT41"遭到起诉的成员蒋立志、钱川、付强等,皆在中国四川省成立的"成都肆零肆网路公司"担任干部。而"成都肆零肆"除了开发骇客工具及精密的恶意程式外,更针对全球政府机关、通讯及科技业、学术研究机构、医疗机构及电玩游戏产业等超过100家企业发动网路攻击及间谍活动。其中一位遭起诉的"APT41"成员谭戴林,更被《纽约时报》(The New York Times)揭露在2006年成功入侵美国国防部五角大楼网络,并将大量文件发送回中国。
为多国企业、政府部门与军方提供网路威胁情资,并且追踪各国骇客组织的TeamT5(杜浦数位安全公司),在过去几年长期追猎"APT41"的行踪。
TeamT5执行长蔡松廷向《报导者》指出,"APT41"这群经常锁定台湾的中国骇客,早期是针对博弈产业与通讯、科技业进行攻击,近几年范围则扩张到学术机构、医疗机构、化学、航太、能源、媒体和各国政府机关,包括台湾、新加坡、马来西亚、日本、韩国、美国、印度和澳洲都是其锁定的国家。
中国解放军在2015年12月31日成立与陆海空军平行的"战略支援部队"网路军力后,近年更不断强化网路作战力量。对此,蔡松廷强调,"APT41"拥有非常庞大的恶意程式火药库,因此推断是在中国国家安全部(MSS)整合了各种资源、攻击技术和工具后,让"APT41"及相关的骇客团体规模更大、火力更强。据估计,包括"APT41"在内,来自中国的活跃骇客组织有30个之多。
中油、台塑接连遭骇,威胁分析师:军事等级的潜伏攻击
2020年5月4日中午,全台中油加油站的交易系统及相关支付方式停摆,隔天石油供应商之一的台塑也传出系统异常。调查局与美方在同年9月完成调查,推断攻击者就是背后由中国政府支持、恶名昭彰的骇客组织"APT41"。图为位于台北市信义区的中油总部大楼。
