銘傳大學國際事務與外交學程兼任助理教授 林穎佑 博士
2016年底,我國接連舉辦了兩場重要的資訊安全會議,其中多篇論文都有深入分析當前攻擊的模式。透過資訊裝備的協助雖可大幅降低成本與壓縮了時間,但也讓這些資訊儲存裝備成了有心人士的攻擊目標,無論是從事黑色產業鏈的黑帽駭客,或是受到政府指使的國家網軍,都參與了這一場無硝煙的網域戰爭,其中大部分都選擇APT攻擊(進階持續性滲透攻擊;Advanced Persistent Threat, APT)作為主要的入侵模式。
APT攻擊一般多結合所謂的社交工程(social engineering)讓這些攻擊更具威脅。社交工程重視的不是技術,而是如何與目標進行互動,使目標相信攻擊者的說詞而將資料主動提供。由於目前各重要機關都具有一定的資安防護能力,如何取得目標的信任並主動下載問題檔案,便會是APT攻擊能否成功的關鍵。
對各國網軍而言,APT攻擊不是為了販賣獲利,而是一個有組織有計畫的間諜行為,是一個為目標物量身打造的攻擊策略,需要仰賴的是目標的個人資料、交友關係、閱讀取向,與人際網絡,假冒被害人的朋友、師長、同僚冒名發送被害人有興趣參加的活動以及與時事相關的新聞,將惡意程式夾藏在Word、PDF、Excel檔案的方式附加在電子郵件中,讓被害人誤以為是重要文件或是對其主題感興趣主動下載,在檔案開啟的同時,目標的電腦也受到了入侵。
有別於過往,早期的APT攻擊經常利用副檔名的字元反寫或是利用電腦系統操作語言的不同,來作為惡意程式的掩護。但近期更是利用各種程式尚未被原廠商或是資安公司發現的零時漏洞(zero-day)作為攻擊,更配合各種與目標有關的信件內容,如開會通知、通訊錄、或是出席會議的簡報檔、會議參考資料,讓受害者往往無法分辨其真偽。過去的社交工程郵件中,還常會因為攻擊者的粗心而使用了與攻擊目標不同習慣的用語,露出馬腳,如應是本國人士發送的信件中,出現大量的中國大陸用語或是簡體中文。但現今不只在用字遣詞上毫無破綻,更是會附上具有真實姓名電話等聯繫方式的資料,配合時事與可能開設的研討座談會議邀約。因此便有學者在收到類似的APT攻擊信件後,信以為真一直到開會當天前往會議地點時,才驚覺上當。但是其間已經提供許多個資給攻擊者,同時藉由惡意程式的入侵,受害者的帳號密碼以及信件聯絡人全部都落入有心人士的手中,成為日後發起橫向攻擊的跳板。
從上述的說明中可以發現,APT攻擊除了技術之外,更需要的是對於目標的瞭解與其基本資料的認識。這些資料的收集都可能不是專注於資訊領域的駭客所擅長之處,因此許多的網軍組織都會與情報單位有所合作,讓網軍成員獲得更詳盡的情報後能做出更為精準的攻擊。
雖說當前大國間仍處於「鬥而不破」的階段不敢任意發動網攻。但透過網路來竊取情資,已經成為常態,要根除網路攻擊與威脅的可能性極低,如何適應充滿威脅的網路環境並做好自身與組織防護機制與威脅共存,可能才是在數位時代的生存之道。