美國眾議院議長裴洛西(Nancy Pelosi)8 月初訪台之時,有兩家資安業者發現中國駭客 Lucky Mouse 發動攻擊行動,這些駭客把一款中國廠商開發的即時通訊軟體「MiMi」植入後門程式後感染使用者的作業系統。而約一個月後,中國指責一家美國間諜機構入侵中國一所從事航太研究的大學。
網路安全公司 SEKOIA 和趨勢科技的報告揭露,名為 Lucky Mouse 的中國駭客所發動的網路攻擊,把跨平台即時通訊軟體植入後門程式後感染作業系統,受感染的是中國開發的即時通訊軟體 MiMi,其中後門程式 RShell 感染 Linux 和 macOS 等作業系統、HyperBro 感染 Windows 作業系統。在 Lucky Mouse 8 月初的攻擊中,趨勢科技總共找到 13 個遭鎖定的目標,有 10 個在台灣、3 個在菲律賓,且疑似有台灣 IT 開發公司和銀行受害。值得注意的是,2021 年 7 月中旬就曾有第一份報告遭 RShell 攻擊。
中國駭客 Lucky Mouse 屬於中國駭客組織 APT27,也稱為 Bronze Union、Emissary Panda 和 Iron Tiger,自 2013 年以來一直很活躍,並且有替中國政府搜集政治、軍事情報的攻擊歷史。這種 APT 攻擊(Advanced Persistent Threat,進階持續性威脅)擅長使用各種「客製化」的植入程式(如 SysUpdate、HyperBro 和 PlugX)偷取高價值資訊。8 月這次攻擊的意義重大,它意味著攻擊者首次嘗試將 macOS 與 Windows 和 Linux 一起作為攻擊目標,具有供應鏈攻擊(Supply Chain Attack)的所有特徵,在此類攻擊中,駭客會先分析攻擊目標有在用的軟體,找出這些軟體的供應商中資安防護較差的,然後入侵供應商的軟體更新傳遞設施,把惡意程式植入其最新的軟體更新版本,再藉由軟體更新機制送入攻擊目標的電腦中。
目前尚不清楚 MiMi 是否「被設計或重新用作監視工具」,但該應用程式已被另一位名為 Earth Berberoka(又名 Gambling Puppet)的專門攻擊中國博弈網站駭客所入侵。這也顯示,中國 APT 駭客之間會普遍性的共享工具。
不過,這類駭客行為在西方媒體上沒有得到太多報導,可能是因為中國攻擊的不是在美國或歐洲的目標。但這是個警訊,因為這種供應鏈攻擊的模式有成長的趨勢,因此西方公司和政府應該注意並開始準備防禦。中國的駭客組織以及西方國家的駭客組織在過去的二十年裡都以間諜、監視和破壞活動而聞名。但這種攻擊跟典型的駭客行為不同,因為攻擊者是透過利用受信任的軟體進行攻擊的。這是一種軟體供應鏈攻擊,攻擊者篡改程式碼、軟體構建系統或軟體更新管道,所有的這些供應鏈系統都已成為世界數位經濟運行的關鍵。
美中駭客攻擊口水戰
中國國家計算機病毒應急處理中心在 9 月 5 日發聲明說,美國國家安全局(NSA)特定入侵行動辦公室(Office of Tailored Access Operation, TAO)對西安西北工業大學發動攻擊。該中心和 360 公司聯合組成技術團隊在西北工業大學 6 月受到攻擊後調查認為,美國國家安全局近年來對中國進行了超過 10,000 次「惡意」網路攻擊,收集了超過 140 GB 的資料。美國國家安全局和國務院拒絕對這些指控發表評論。美中之間對網路間諜活動的口水戰已越來越激烈,中國指責美國政府也變得更加直接。
澳洲戰略政策研究所學者霍夫曼(Samantha Hoffman)表示,中國對美國網路攻擊的具體指控有所增加,美國應以中國參與從事間諜活動的具體細節作出回應。他說:「美國和盟國需要集中精力解釋為什麼中國在這個領域(指網路世界)的活動是不正常的、超出了大多數情報機構的作為,當然,中國可能會繼續以類似的指控作出回應,那可能是事實,也可能不是事實。」
最近,中國透過直接指責美國進行網路攻擊來改變其戰略。今年 2 月中國網路安全公司盤古實驗室宣稱,在中國發現美國支持的駭客活動:國內 IT 系統中的惡意軟體是跟美國國家安全局有關的駭客組織 Equation 設計的。
新加坡的中國網路活動專家奧斯汀(Greg Austin)表示,中國這一轉變旨在提高民眾對美國攻擊的認識,並從美國及其盟國手中奪回全球外交主動權,這些歐美盟友多年來一直指責中國發動網路攻擊。他說:「這是一個(戰略)方向的改變,可能已經遲了將近 10 年,美國政府及其盟國針對中國發表的資訊跟中國發表針對美國及其盟國的攻擊資訊之間有著相當大差異。中國官員對美國攻擊的規模幾乎一無所知。」
參考來源:
2022/09/05 Bloomberg China Says US Hacked Aeronautics, Space Research University
2022/09/07 The Diplomat A Recent Chinese Hack Is a Wake-up Call for the Security of the World’s Software Supply Chain
2022/08/13 The Hacker News Chinese Hackers Backdoored MiMi Chat App to Target Windows, Linux, macOS Users
2022/09/05 中國國家計算機病毒應急處理中心 西北工業大學遭美國NSA網絡攻擊事件調查報告(之一)