網路資訊／APT攻擊變臉術

作／羅伯特

進階持續威脅在動機、惡意與精緻細膩度等各種層面上皆有所進化，您已經準備好要阻止這瘋狂的場面了嗎？

今年稍早，某小型航空公司要求AccessData（一家鑑識與安全公司），調查其在檔案共享服務供應商Box.com上的資料是如何憑空消失的。

AccessData拒絕透露這個委託案的苦主，而該航空公司已接到來自檔案共享服務供應商旗下業務團隊的來電，詢問是否要進行Box公司企業級服務帳號的升級作業。

唯一的問題是：該公司並未正式與Box公司簽約。

AccessData的調查顯示出，惡意程式已入侵劫持了該公司 6名員工的電腦，並且爲這些人在雲端服務上分別建立了帳號。從那時起，惡意攻擊者便建立了上傳與下載資料的基地。「流向Box.com的流量似乎一點問題都沒有，所以就攻擊者的觀點而言，實在妙透了，」AccessData資深鑑識顧問 Jordan Cruz表示。

這類目標式攻擊 (Targeted Attack)，有時會歸類在進階持續威脅(Advanced Persistent Threats, APT)的分類標題下，並且有越來越多被運用在獲得專屬及機密企業資料的存取權上。攻擊者讓他們的戰略越趨完善，有時透過公有云端服務，來規避會對可疑封包貼上標記的監控機制。

AccessData並非唯一發現這類攻擊戰略的安全廠商，安全威脅情報公司CyberSquared宣佈，已發現被稱爲Comment Crew或APT1的中國間諜集團，曾透過Dropbox作爲傳遞惡意程式的中介線上快取。

APT不斷提升其精緻細膩度，已經沒什麼好意外的了。當網路犯罪者採用目標式攻擊來劫持重要或難以入侵的目標時，這類低姿態、高衝擊性的惡意行動，已經成爲專門鎖定智慧財產權，以及國家最高機密資料攻擊者的標誌與特色。

在過去5年以來，目標式攻擊早已蔚爲潮流，同時攻擊者透過各種類型之勘察(reconnaissance)、漏洞入侵(exploitation)與開採資料(mining)的手法，改善、精進其對受害者的網路攻擊。

不僅如此，發展網路攻擊行動的國家，已經擴大超出原本的美國、中國、俄羅斯與另外6個國家，例如英國與以色列等國，莫不爭先恐後地展開線上情報蒐集行動。

「宿醉行動」(Operation Hangover)，是一個最近被發現專門鎖定巴基斯坦、挪威、美國、中國與其他國家的間諜網路，該團體似乎來自於印度。同時，許多以南韓基礎設施爲目標的攻擊，多半具備北韓網路攻擊的特徵。此外，攻擊者不但精進其技術，同時也擴大其攻擊範圍與目標。

APT儼然變得更加普遍，透過像是Poison Ivy與黑洞漏洞攻擊套件 (Black Hole exploit kit)等既有攻擊工具與技術，即使是沒什麼技術可言的攻擊者，都可以成功地滲透、突破大部分目標公司的防禦體系，賽門鐵克(Symantec)北美行動安全迴應經理Liam O’Murchu表示。

「這一些目標式攻擊，儘管他們稱之爲『APT』，但事實上他們所採用的工具並沒有那麼精緻複雜，」 O’Murchu認爲：「這些攻擊具有非常先進的特性，是指他們以零時差等攻擊手法入侵目標公司。一旦成功入侵，他們便開始使用很普通的攻擊工具。」

各國另類的強勢外交

APT最引人注目的趨勢之一，莫過於成爲開發中國家的最愛。儘管中國早已是引領這股風潮的龍頭，但舉凡從伊朗到馬來西亞，再到非洲、南美洲諸國等其他國家，莫不積極打造專門存取其他各國敏感資訊，以及跨國企業智慧財產權的專屬團隊。

安全事件迴應管理方案商 Mandiant安全長Richard Bejtlich指出，前述所提及駭客工具的可存取性，以及開發中國家從暗中偵察工業化國家，所獲取的潛在回報，已逐漸與網路間諜(Cyber Espionage)活動的規則相融合，成爲民族國家級行動中的定則而非特例。

在許多案例中，開發中國家第一次接觸到網路間諜活動，並淪爲該戰略下的受害者，就是在被較大的國家基於情報搜尋而加以鎖定的時候。這些勢力較弱的國家很快地也採取了相同的戰略，使得網路間諜活動成爲蒐集資訊的公認做法。

例如，伊朗開始大力推動自我網路間諜能力，成爲在遭到Stuxnet超級蠕蟲與火焰(Flame)病毒鎖定攻擊後，一個「不容忽視的力量」，美國空軍網路戰最高指揮官Gen. William Shelton於今年初表示。同樣的，北韓也開始全面提升自我網路戰能力，其動機來自於美國與南韓對北韓的攻擊行動。

而中國全面性的網路攻擊，似乎也引起了受害者的反彈。中國早已對非洲及南美諸國，採取蒐集情報的網路間諜行動，這些國家在備感壓力之餘，紛紛發展出自己的網路戰能力， Mandiant公司的 Bejtlich表示。

「透過竊取其他人的研發成果，然後再用於自己開發之行徑，進而加速自身經濟運作的想法，將會變得更加普遍，」他表示：「透過數位手段來獲得這些資訊，似乎成爲最便宜、最快速與最精確的做法。」

想對專門製造並發動APT攻擊的團體加以追蹤，依舊是困難重重。安全威脅情報公司致力於將攻擊歸因於某團體，但卻很難釐清該團體到底是單獨作業，還是代表了某政府或公司的利益，Intel子公司安全方案商McAfee資深副總裁Pat Calhoun表示。

「我們已和許多執法單位合作，同時能對一些案例中的攻擊行動，追蹤源頭到一羣資金雄厚的個體組織，」Calhoun指出：「但到底是誰出資發起的，卻很難判定。」

攻擊者所留下的數位軌跡，可能會成爲當局政府、公司或駭客集團僱用的依據，安全服務公司 CrowdStrike聯合創辦人暨技術長Dmitri Alperovitch指出。

「在這個國度中，想要掌握國防承包商，實在是不足爲奇的事情。」 Alperovitch表示，並將這些組織稱之爲：「網路黑水，亦即專門建立漏洞攻擊與惡意程式，甚至是以政府爲名義展開行動的國防承包商。」