日本警察廳與美國國家安全局等政府機關在本(9)月 27 日連名發佈資安警示,指出以中國為據點的駭客集團「BlackTech」多次對日本等東亞國家及美國發動攻擊。這是日本政府第 6 次採用「公開歸因(Public attribution)」的方式,直接點名攻擊方以牽制、遏制其行動。
其餘 5 次為 ① 2017 年 12 月外務省發言人譴責與北韓有關的勒索軟體「WannaCry」在全球造成大規模感染;② 2018 年 12 月外務省發言人譴責以中國為據點的駭客集團「APT10」長期攻擊日本企業及學術單位;③ 2021 年 4 月警察廳發布消息指出中國駭客集團「Tick」與攻擊日本宇宙航空研究開發機構(JAXA)等約 200 個團體的事件有關;④ 2021 年 7 月外務省發言人譴責由中國政府在背後支持的駭客集團「APT40」攻擊日本企業;⑤ 2022 年 10 月警察廳發布消息北韓駭客集團「Lazarus」攻擊日本加密貨幣業者。
相關報導:
3成偷自日本 日本加密貨幣業者被北韓駭客當肥羊
中國駭客Lucky Mouse透過中國即時通訊軟體 MiMi發動「供應鏈攻擊」
解放軍61419部隊遭指主導駭客攻擊日本國防機構 中國:勿潑髒水
用駭客「賺」外匯?北韓嚴選高中資優生進駭客部隊培養
此次發布聯合宣導的單位包含日本警察廳(NPA)、內閣網路安全中心(NISC);美國國家安全局(NSA)、聯邦調查局(FBI)以及國土安全部網路安全暨基礎設施安全局(CISA)。
以往網路安全專家都將 BlackTech 視為中國政府支持的駭客團體,在這次,日本和美國政府發布的消息中直接寫明 BlackTech 與中國有關聯。
根據日本及美國發布的文件,自 2010 年左右以來,BlackTech (又名 Palmerworm、Temp.Overboard、Circuit Panda、Radio Panda)持續鎖定東亞和美國的政府、工業、技術、媒體、電子以及電信業進行攻擊,其中還包含與日美防衛部門相關的組織,目的是為了竊取情報。
日本警視廳公安部和警察廳網路犯罪特搜隊在接到日本企業的諮詢後進行調查,結果發現與美國當局確認到的 BlackTech 攻擊手法和惡意軟體特徵如出一徹。
BlackTech 使用自訂惡意程式和遠端存取木馬程式(RAT)來攻擊目標的作業系統,並客製化一系列針對 Windows、Linux 和 FreeBSD 作業系統的工具,包含 WaterBear(水熊)、BendyBear、PLEAD 等,他們透過不斷更新這些工具以躲避資安防護軟體的偵測。還使用竊取來的數位憑證對惡意軟體進行簽證,使它們看起來合法,讓防護軟體更難以檢測到。(更多詳細資訊可參閱 CISA 發布的消息)
BlackTech 的主要攻擊手法是藉由海外路由器進入企業的內部網路,再進入總部或其他據點,竊取情報。一開始針對連接網路的設備漏洞發動攻擊入侵,取得控制權以建立最初的立足點,接著再將海外子公司連接總部的路由器作為攻擊的中繼站。如此,BlackTech 可透過受信任的內部路由器再入侵其他據點。
由於他們會透過修改路由器的韌體等方式,偽裝成正常通訊,因此受害者通常很難及時察覺。而一般家庭的路由器也有可能被用作中繼站。
因此,警察廳呼籲尤其是管理具有多個據點的資訊服務商,應該牢記攻擊不僅僅來自網際網路,而且還可能是來自內部已經受到侵害的內部網路攻擊。
警察廳並未具體透露有哪些企業受害,但在日本,BlackTech 被指出與 2020 年三菱電機遭受攻擊導致防衛省的防衛相關資料外洩有關。也可能與 2021 年非法存取富士通的資訊共享工具有關。
日本警察廳高層表示:「對日本的攻擊仍在持續。我們希望相關企業和海外據點能提高安全性。」
儘管文件中雖未寫明「東亞」包含了哪些國家,但除了日本,至少應該包含台灣。2020 年 8 月台灣法務部調查局資安工作站就曾召開記者會說明,中國駭客集團 BlackTeck、Taidoor 長期入侵承接政府部門資訊服務的供應商,再以此為跳板攻擊 2 個市政府、水資源局、國立大學等至少 10 個單位。
關於日本的網路防禦,今年 8 月《華盛頓郵報》曾報導,美國在 2020 年秋季察覺到中國軍方的駭客入侵了日本的防衛網絡,並通報日本政府,稱之為「近期最嚴重的駭客攻擊」。隔年,美方再次發出警告,認為日本採取的對策仍然不夠充分。
相關報導:《華郵》爆中國駭客入侵日本機密網路 美仍對美日關係充滿信心
美國國防部長奧斯汀也向日本政府表達了擔憂。報導刊出時,當時的日本防衛大臣濱田靖一在記者會上表示,未確認到有防衛省的機密情報因網路攻擊而外洩。
日本防衛省今年 7 月在下屬整備計畫局新成立了「網路整備課」,計劃在 2027 年之前將自衛隊的網路專門部隊增加約 4,000 人。
軍事評論家黑井文太郎表示:「中國自 2015 年以來進一步加強了其網路攻擊部隊。『BlackTech』是中國人民解放軍的多個網路攻擊部隊之一,迄今主要竊取東亞的高科技企業等單位的技術情報。
延伸閱讀:【何澄輝】竊取或控制?從近期中國網路駭客活動爭議管窺未來威脅態勢
在全球的軍事中,網路戰成為主要戰場,但日本的應對行動緩慢。自衛隊的網路部隊仍在加強,官民合作仍然不足。這次的示警可能是由美國主導的,目的可能在於向日本的民間企業發出警告。」
參考新聞連結:
2023/09/27 NPA 中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について
2023/09/27 CISA People’s Republic of China-Linked Cyber Actors Hide in Router Firmware
2023/09/27 読売 中国拠点のサイバー集団「ブラックテック」、日米に攻撃繰り返す…警察庁が名指しで「非難声明」
2023/09/27 朝日 日米被害のサイバー攻撃、「中国背景の集団」と特定 警察庁とFBI
2023/09/28 夕刊フジ 日本にサイバー攻撃、中国拠点のハッカー集団「ブラックテック」政府や産業、技術、メディアなど狙いか 警察庁が注意喚起
2022/10/15 読売 北のハッカー集団、日本の暗号資産狙い攻撃か…警察庁が異例の名指し公表