事实上,除了入侵台湾医疗体系,这几年"APT41"也开始针对其他台湾关键基础设施进行攻击,并涉及中油、台塑两家能源公司遭骇的重大资安攻击案件。
2020年5月4日中午,全台中油加油站的交易系统突然无法使用,会员卡、捷利卡、中油PAY等与系统连结的支付方式一并停摆,加油站员工告知顾客只有现金和信用卡能用,也有站点直接贴出暂停服务的告示,影响遍及1,500多个加油站。中油公司其后发布新闻稿,证实资料库和部分电脑主机遭勒索软体感染。
就在中油事件的隔天,5月5日上午11时,台湾两大石油供应商之一的台塑也传出系统异常。台塑资讯单位通报员工暂停使用网路与发送信件,启动检修作业后,确认电脑遭到入侵。
由于这两起案件并非只是为了索取赎金的单纯商业勒索,而是明确针对关键基础设施而来,因此被列为台湾少见的三级资安事件,不但转由调查局接手,其后更与美方联手侦办。
历经数个月的台美联手调查,调查局与美方在同年9月还原了事件成因。时任调查局资安工作站副主任刘家荣指出,这几起攻击,骇客先是利用员工电脑、网页和资料库服务器等途径,进入公司内部系统进行潜伏及刺探,伺机窃取高权限帐号后,再利用连接多处电脑的网域服务器将勒索病毒派发到全公司的电脑中。最后,骇客们修改工作排程,让勒索病毒在员工电脑里自动执行,设定发作时间,就像在电脑里装了几颗定时炸弹,时间一到就爆炸,引发系统停摆。
调查局随后更在台湾资安大会上指出,早在2016年4月,中油电脑就被执行了恶意程式,台塑电脑也在2019年9月遭遇入侵。种种迹象显示,针对这两家关键基础设施的行动,是瞄准目标、长时间潜伏、经过充分模拟与测试的APT进阶持续性渗透攻击,而根据使用工具和中继站等相关资讯,台美双方推断攻击者就是恶名昭彰的"APT41"。
一位资安威胁分析师如此描述这波针对中油、台塑的攻击:"这是军事等级的行动,想像一下狙击手要潜伏多久,才会开出第一枪。"
警政署:重点是骇客潜伏,大多数机关根本不知道自己遭入侵
近年台湾发现大量对于关键基础设施的潜伏攻击,不愿具名的政府资安官员向《报导者》证实,从医疗机构、水资源设施、电信公司到军校等相关单位都有中国骇客潜伏的影子(图为情境示意)。(摄影/陈晓威)
美国网路资安与基础架构安全局(CISA)整理出骇客采用的5D手段,分别是中断(Disrupt)、瘫痪(Disable)、阻绝(Deny)、欺骗(Deceive)及摧毁(Destroy)。值得庆幸的是,台湾关键基础设施尚未面临最具破坏力的"摧毁"攻击。
但这并不代表台湾已然幸免于难。警政署资讯室主任林建隆接受《报导者》访问时强调,现在遭遇最大的问题是骇客潜伏:"潜伏时间拉长,大部分机关根本不知道自己遭到网路攻击。"
林建隆曾侦破多起国内外骇客入侵案件,过去也曾在刑事局科技犯罪防制中心与科技研发科服务,近年开始发现大量对于台湾关键基础设施的潜伏攻击。因为事涉机密,林建隆不愿意透露是哪些单位遭到网路攻击,但他以一起已经曝光的事件进行说明。
2020年5月,一封来自"[email protected]"的电子邮件被同时寄给多位立委的服务处,信件内容附上一则连结,要求立委们填写表格并回传,下方并有总统府的署名。
如果没有细看,很难发现寄件人的电子邮件地址与真正的总统府信箱([email protected])仅有一字之差,这是"钓鱼邮件"的常用手法。
由于骇客冒充总统府名义,刑事局很快接手调查。作为当时的负责人之一,林建隆从钓鱼网站连结、夹藏的恶意程式样本、钓鱼网站的IP与网域等方向着手,很快推断攻击者是"国家支持的组织骇客":"为什么敢这样说,因为证据显示案发半年前,他们也对西藏做了一样的事情,会有哪一个国家同时对(攻击)台湾跟西藏有兴趣?大概就是中国而已。"
此外林建隆也观察到,中国支持的骇客组织,近年来喜欢锁定网路通讯设备的漏洞来进行攻击,而不是直接攻击电脑设备,以借此避开防护侦测,让整体攻击手段变得更加细腻与隐匿。
另一位不愿具名的内政部资安主管King(化名),则与林建隆一样向《报导者》证实了这些隐匿的潜伏攻击:"以我处理过的案例,电信公司、金融单位、水资源处理设施和军校,这些单位都有骇客潜伏的例子。"
King认为,这些已有骇客入侵的关键基础设施中,以水资源处理设施最值得担心。当骇客透过钓鱼邮件成功入侵主机系统,就能够控制调整流量与添加物的设备,"台湾的水源生产和处理能力就会遭到瘫痪,"他说。
这位资安主管更特别提及军事学校中的骇客潜伏。他向我们解释,骇客躲在军校系统里搜集资料,"就是为了知道哪些人以后有可能当将官,"以事先掌握这些未来将官的重要个资;未来两岸若发生冲突,对岸就会根据我方将官的资料"擒贼先擒王"。而这些网路潜伏都是以年为单位,我方很难知道攻击者已经做到什么地步、搜集到多少资料。
台湾第一份"关键基础设施网路曝险报告"的示警
睿控网安公司资安威胁研究团队经理郑仲伦,撰写台湾第一份"关键基础设施网路曝险报告",点出30万笔个资外泄正为关键基础设施的资安环境带来极大风险。(摄影/陈晓威)
为了证实目前所面临的威胁,《报导者》也取得台湾第一份"关键基础设施网路曝险报告"──这份由睿控网安公司的资安威胁研究团队经理郑仲伦撰写的报告,从各种管道搜集了台湾关键基础设施外泄的30万笔个资,内容包括市值排行前百名的企业,以及电力、石油、天然气、水资源产业、医学中心、运输业、金融业和中央政府部门等。研究者希望了解这些个资会不会和乌克兰停电事件一样,成为民生社会瘫痪的原爆点。
郑仲伦受访时,提到报告中的两大关键:
台湾关键基础设施的大部分泄露个资,都是因为使用"弱密码"──大约有10%的密码可成功对应到前100,000个密码字典。这代表掌握国家社会运作的基础设备密码,有极大机率被骇客暴力破解。
按照台湾政府的分类,外泄个资比例中,最高为"通讯传播类"基础设施,比例高达23.16%;其次为紧急救援与医院(15.95%);第三名为政府机关(10.86%);第四名是能源产业(8.98%),第五名则是科学园区与工业区(8.41%)
大量外泄的个资,对照数位发展部在2022年6月发表的公务机关资安稽核结果,包括中央银行、交通部、行政院原子能委员会等十多个机关的平均资安分数,都只落在60至70分的及格线上,种种迹象都显示我国关键基础设施的脆弱。
郑仲伦因此强调,要因应对于关键基础设施的攻击,最重要还是回到"人"本身,也就是"关键基础设施相关人员的资安意识是否充足、应当如何提升"这两大关键。他直白指出,"台湾(资安防护)现况虽然有进步,但仍亟需提升。"
从攻击反制中窥见台湾的不足
台湾今年度的万安演习,纳入桃园炼油厂等基础设施实体防卫演练。图为演习预演时,桃园炼油厂内对油库进行消防演练。(摄影/郑宇辰)
2018年6月,台湾第一部《资通安全管理法》三读通过,相关单位也持续进行针对关键基础设施的兵推演习。一位不愿具名的资通电军军官接受《报导者》访问时透露,政府早已为了反制网路攻击做准备,例如我方近年曾针对中国关键基础设施进行调查,并列出三项瘫痪目标:化工制程、智慧自动化制造、电力设施。
但这位军官也坦承,"目前为止我方反制网路攻击的效果并不好,因为相对台湾,中国早就花费数十、数百倍的人力和资源在渗透我国关键基础设施,中国甚至会花费资源训练相关科系的大学生来专门寻找零时差漏洞(Zero-Day Vulnerability)"。(注:零时差漏洞或零日漏洞,是指软体、韧体或硬体设计当中未被揭开,或已被公开揭露但厂商却仍未修补的缺失、弱点或错误。这样漏洞的发现将为骇客提供极高的利用价值,可被开发成强大的网路武器。从国家间谍到网军部队,都非常重视这些资讯。)
重新回顾2017年的演习,站在网路战最前缘的这位资通电军军官,更认为当初总统为资通电军设立"保护关键基础设施"的目标,并没有全然实现。他指出,不但各个关键基础设施所属单位的资安防护状况有不小落差,就连资通电军以及负责研发的中科院本身,也因诱因不足而陷入人才招聘困难:"人力银行的页面上,资通电军所开设的7个职位还依旧悬缺,就可看出现阶段资安防护的困境。"
今年度的汉光演习,首度将台北车站、桃园炼油厂、永安液化天然气厂、金门大桥和桃园机场等关键基础设施的实体防护纳入项目之一,却未见关于网路攻击的防护措施。
5月,涉及22项法案的"强化关键基础设施保护法案"在立法院三读通过,但民间国安智库随即点出其中不足,包括保护项目涵盖不足、威胁态样太过狭窄、缺乏事前保护手段,以及没有规划任何预警、调查和追诉的配套措施。
应对网路攻势,失一分就是输
尽管现行法规已经定义关键基础设施范围,并将相关的民间企业与单位纳入,律定政府与民间各自应履行的资安责任,但数发部资通安全署在书面回复《报导者》提问时仍指出:"骇客利用已知设备漏洞、骇客工具及系统弱点攻击比例仍有偏高情形,因此我国关键基础设施内相关的系统、维护人员及设备供应商,从资安意识到防护措施仍有待持续强化。"
网路战跟运动比赛不同,不是得分多的赢,而是失一分就是输。"无论守住多少次,只要有一次没守住,关键基础设施就可能被瘫痪,重要资料就会被偷走!"Team T5公司执行长蔡松廷强调:"活跃的中国骇客组织,正磨刀霍霍随时准备发动攻势,它是每天在看着我们,面对这样的敌人,我们只能一直做下去(资安防护),一天都没办法松懈。"
