東協資安仍是紙上談兵?中國駭客去年竊取超過1萬封電子郵件

美國知名雜誌《連線》(WIRED)2 月 28 日報導,中國所屬的駭客 2022 年從東協秘書處和成員國的窗口那裡竊取超過 1 萬封電子郵件,總計約 30GB 的資料,而且每天都被中國駭客攻擊。被竊取的資料可能包含東協成員國有關南中國海的討論,以及跟華盛頓會談等戰略相關訊息。

根據《連線》雜誌看到的網路安全警報,在拜登 2022 年 5 月邀請東協會員國訪白宮前的 2 月,中國駭客曾竊取東南亞國家的數千封電子郵件和敏感訊息,以獲取政治和經濟等關於會談的相關訊息。這是東協自 2019 年以來第三次遭到駭客入侵。為了從東協竊取電子郵件,中國駭客用有效的憑證騙過東協的郵件伺服器,例如,Microsoft Exchange 伺服器的 mail.asean.org 和 auto.discover.asean.org 等網域。微軟曾於 2021 年 3 月首次公佈這些漏洞的詳細訊息,並指出中國的駭客 Hafnium 曾使用過這些漏洞攻擊數萬個郵件伺服器。

因此,網路安全警報建議東協成員國重置憑證,監控從未知位置來的電子郵件並防禦漏洞。它還指出,這不是中國駭客第一次攻擊東協。2021 年 7 月,東協被惡意軟體 ShadowPad 攻擊。同時,在 2019 年 5 月至 10 月期間,中國駭客使用 PlugX 惡意軟體竊取 100 多份跟東協相關的文件。美國網路安全公司麥迪安(Mandiant)網路間諜分析主管李德(Ben Read)表示,ShadowPad 和 PlugX 都是跟中國有關的駭客常用工具,以後門程式開大門讓駭客可以控制某人的電腦,包括上傳和下載文件以及在其區網中遊走。李德說:「在過去的十年裡,PlugX 一直是中國網路間諜活動的主力。」

中國駭客
圖/Magnus916/CC BY-SA 4.0/報呱再製

美國網安諮詢公司「記錄未來」(Recorded Future)追踪過去兩年來中國駭客攻擊東協 10 國的政府與軍事組織,在整個 2021 年檢測到 400 台伺服器被中國駭客植入惡意軟體,馬來西亞、印尼和越南是被攻擊最多次的國家。李德說:「已確定的入侵活動幾乎肯定是在支援中國政府的關鍵戰略目標,例如收集有關參與南中國海領土爭端的國家,或是對一帶一路具有戰略重要性的計畫和國家情報。」

網路安全警報指出,中國國家資助的駭客被認為是世界上最老練、最有能力的駭客之一。自從中國的民間情報機構國家安全部在 2015 年主要接管網路業務以來,它在駭客攻擊方面變得更加激烈。李德說,中國的駭客經常在不同的駭客組織之間共享駭客工具,例如 PlugX 和 Shadowpad。資安公司 Digital Forensic Indonesia 的執行長 Ruby Alamsyah 說:「東協秘書處使用的伺服器存有許多安全漏洞,因此駭客會設法遠程入侵並竊取數據,自 2019 年以來,針對東協秘書處的類似攻擊發生過數次,這些駭客是國家等級的。東協伺服器的安全性不夠,東協要共同努力加強網路防禦。」

專注東南亞研究的澳洲國立大學學者馬斯頓(Hunter S. Marston)表示,中國駭客的入侵嚴重打擊東協的信任,他說:「這種行為等同於中國的掠奪性經濟行為,北京認為有很多戰略訊息具有吸引力,從南中國海行為準則的談判到跟澳洲或美國的戰略夥伴關係討論。在短期內,沒有東協成員國會冒險破壞與中國的關係。但從長遠來看,這無疑會加劇東協與中國之間戰略不信任感。」此外,馬斯頓認為,雖然東協應該對這一網路攻擊做出集體回應,但這種情況極不可能發生。他說:「也就是說,個別東協國家應該傳達出中國的違規行為,並訴諸國際法律規範,以點名羞辱這種掠奪行為。」

印尼人工智慧與網路研究中心(Artificial Intelligence and Cybersecurity Research Center in Indonesia)的 Muhammad Thufaili 表示,東協成員國之間幾乎沒有網路安全合作。他說:「目前,合作似乎只是在政策協調層面,而不是在全面運作的電腦緊急應變支援小組(Computer Emergency Response Team, CERT)。」東協曾於 2017 年公布網路安全合作戰略文件。

參考來源:
2023/03/02 Benar News Analyst: China-linked hackers stole gigabytes of data from ASEAN servers
2023/02/28 Wired China Is Relentlessly Hacking Its Neighbors