在資通訊科技逐漸改變一般人日常生活的同時,以資訊科技為基礎的不法活動則更加氾濫與難以應付。單一個人、企業組織或政府機關,均須認真看待資訊安全問題。過去個別病毒、蠕蟲、木馬等惡意程式雖造成財產損失,卻遠不及近年APT對各國政府、跨國公司所引發的威脅及問題。本文以APT威脅為事件主軸,從大自然裡的生態棲息觀點進行鑑識分析,得以找出證據的蛛絲馬跡。
隨著電腦設備、可攜式裝置及網際網路的普及發展,資通訊科技儼然成為數位生活的重要部分。人們花在數位產品的時間越來越多,習慣享受網路帶來方便與娛樂,但同時也暗藏威脅,風險日漸加劇。一旦電腦網路系統故障,往往會嚴重衝擊日常生活作息或經濟活動。
例如2009年底Google等多家美國公司的Operation Aurora(俗稱「極光行動」)的竊取資料事件、2013年3月Dark Korea or Dark Seoul(俗稱「韓國網路黑暗日」)的癱瘓當機事件,不斷地給予所有人一個莫大的警惕。
資安事件屢登新聞,越來越多人自學電腦系統、網路攻擊的相關知識。藉應用軟體或作業系統本身漏洞,心態偏差的駭客攻擊都能夠快速地造成破壞。
駭客進行入侵之前,通常會有一段長時間的潛伏期,在網路上特定處所群聚,學習相關知識、技術及工具。為有效、主動打擊該類網路非法活動,本文觀察Operation Aurora及Dark Korea的資安入侵威脅活動,以生態棲息的觀點來討論Advanced Persistent Threat(APT)威脅。藉由範例的討論所遺留的蛛絲馬跡,找出不法企圖的證據,以還原資安威脅的現場。
資安威脅日增
近年來,資安事件層出不窮,不論是普通的駭客攻擊或是進階的APT攻擊,都對所有人造成極大的威脅。諸如Operation Aurora的竊取資料事件或Dark Korea的癱瘓當機事件,均屬APT具代表性的攻擊事件,共通點都是駭客進行長期且持續性的攻擊行動,讓受害者造成極大的經濟及財產損失。
Operation Aurora的竊取資料事件
2009年底Google等多家美國公司發現伺服器同期間被入侵竊取資料,攻擊用的工具程式經反組譯逆向工程處理後,出現「Aurora」關鍵字,媒體便以「Operation Aurora」稱呼該事件,跡象顯示幕後主使者為駭客組織的攻擊事件。
此類威脅手法,是一種進階、具威脅性的資安威脅;計畫的縝密、匿蹤的能力,非一般資安事件可比擬。透過群體力量,集思廣益的群起攻擊模式逐漸成為常態,資安事件的調查方式,也不能再視為單獨個案處理。
Dark Korea的癱瘓當機事件
2013年3月20日,韓國4萬多台電腦同時當機,許多金融服務與電視媒體服務停擺,疑因駭客利用資安管理組態缺失,輔以網路側錄帳號密碼,發動大規模資安攻擊威脅;3月26~28日,駭客癱瘓韓國財政部等官網。韓國啟動國家危機管控機制,將該次事件稱為「韓國黑暗日」。
該資安威脅事件目標對象包含Windows個人電腦、Solaris Linux、Sun OS、AIX或HP-UX等UNIX系統伺服器,經過持續性、隱密性地策畫後,進行入侵滲透攻擊難以防禦,實非單一個人所能為。
APT威脅
如何預防、及早發現入侵電腦系統,避免不必要的干擾與損害,成日益嚴重議題。2012年RSA Conference列出資安重點之一為阻止APT威脅,針對特定組織之APT威脅衝擊更成為資安領域的熱門話題。這種APT威脅手法重點在於「Low and Slow」(低調且緩慢),不引人注意為前提,利用各種複雜工具與手法,長期持續入侵,關注、收集特定個人或組織的各種相關事物和資訊,如圖1之APT威脅的行為模式。
|
▲圖1 APT威脅的行為模式。 |
決定目標
駭客組織資金來源充裕,擁有多樣性攻擊類型、路徑與工具的攻擊方式,感染擴散、攻擊範圍大,不同組織單位呈現不同影響。
持續蒐集
針對目標,輔以具經驗、技術、能力的資料情報分析人員,能讓駭客攻擊團隊持續蒐集該目標組織及其員工相關資訊。
客製工具
針對特定組織,以現有惡意程式為基礎,客製化修改組態設定與惡意程式,使用特定技術、工具、知識或方法,避開資安防護架構的偵測。
長期嘗試
長期性嘗試刺探、存取、入侵,取得更多後門管道,期間可能持續幾天、幾週、幾個月,甚至更長的時間,且保持低調、秘密地持續保持成功入侵狀態,避免被察覺。