资安专家:中国网军对台网络攻击大揭密

据财讯报道:国内媒体遭到监控并非一朝一夕之事,除《苹果日报》外,连国家通讯社中央社也早已被中国网军监控了。 中国网军甚至还针对台湾开发专属后门程序“Taidoor”…

为争取2017年香港特首普选的“占中公投”,是继今年3月“太阳花运动”以来,挑动两岸三地最敏感政治神经的议题。中国官方媒体讽刺“占中公投”:“人再多也没有13亿人多。”此言一出,立刻引起台港两地回呛:“有种让13亿人民主!”

早已被中共视为眼中钉的壹传媒主席黎智英,积极参与并号召人们上街头,却在深夜游行时,被告知该集团网站遭黑客攻击而瘫痪。事发后,黎智英说:“这时间他一定搞你。”“他”是谁?台湾《苹果日报》言之凿凿,将矛头指向中国网军,并联合国内15家媒体及多名学者联署发起“谴责网军,捍卫媒体自由”活动。

但国内专门研发、防堵高级持续性渗透攻击(Advanced Persistent Threat,简称APT)产品的资安团队Xecure Lab共同创办人Benson,揭露了更惊人的内幕,“《苹果日报》、中央社,早已成为被长期监控的对象了!”Benson与两名中央研究院研究员也于去年全球黑客年会上发表这项报告。

入侵重要媒体

瘫痪网站轻而易举

Benson表示,无法确认监控已为时多久。他透露,去年在蒐集APT样本时,惊觉国内两家媒体沦陷。经过一轮调查,发现是《苹果日报》及中央社。APT攻击是近年资安圈的重大议题,据了解,早期美国空军为了形容中国的网络军队组织,为免打草惊蛇,暗地里给了APT这样的代号。沿用至今,APT几乎已和网军画上等号。

国内一组长期追踪中国网军的人员也指出,台湾最早出现APT攻击是○三年,事隔10年,台湾遭入侵情况非但没改善,反而愈来愈险恶。

网军入侵目的有异于一般黑客,不为钱、不为名。黑客攻击目的,总括而言有三项:钱、名、政治目的。“我从你身上或从别人身上得到1块钱没有差别,”Benson解释,由于缺乏资源,一般黑客较少采取类似APT这种必须经过周密部署且长期潜伏的入侵方式,不符经济效益。至于为名,如去年震惊台菲的“广大兴号事件”,就有一群Benson口中的“愤青黑客”以“匿名者”组织(Anonymous)之名攻击菲律宾一些官方网站。

美国资安公司FireEye于今年2月公布的年度报告指出,发动APT攻击主要目的有三:窃取专利、窃听政府单位敏感通讯、破坏国安单位防护。长期潜伏并不间断窃取机密资料,才是网军的最终目的。创立于○四年的FireEye自去年挂牌上市以来,受到相当多关注,主因是协助美国情治单位,包括中央情报局(CIA)等网罗最先进情报科技的风险投资机构In-Q-Tel是股东之一。这份报告也点名台湾为全球10大最常遭受APT攻击的目标,排名第8。

由于APT的目标是具有针对性的,因此发动攻击者也会为目标量身打造恶意程序。换言之,每一支恶意程序都是独一无二的。恶意程序主要借由各式电脑软件的漏洞作为掩护,再透过社交工程引诱使用者点击挟带恶意程序的邮件。Benson共享一个案例:国内两名学术人员透过电子邮件讨论研究,其中一人早已被网军盯上,另一人则是下一个目标。网军冒用已被盯上的那名学术人员的电子邮件寄了一封推荐助理的信件给另一名学者,并附上履历,而成功入侵。

APT攻击手法非常缜密周延,有组织、有部署的网军分工合作,各司其职。据了解,长时间监控《苹果日报》及中央社的均属同一个人,任务是确认目标单位持续回传机密资料。这次《苹果日报》事件证明网军有能力入侵并长期监控,要瘫痪恐怕是易如反掌。作为国内大部分媒体主要消息来源的中央社,一旦被瘫痪,后果不堪设想。

中国网军各司其职

广州部队对准台湾

国内资安人员开玩笑称,“尽管他们很可恶,但网军也是人,也有过劳现象哦!”资料显示,每天早上8点至10点,是网军启动及发出攻击的第一波高峰;下午3点至5点,则是第二波。活跃时间延续至深夜11、12点,周而复始。

最先公开揭露中国网军的是美国资安公司Mandiant。去年初,Mandiant发布了一项骇人的报告,内容巨细靡遗描述了位于上海浦东新区,有一支“61398部队”。这支部队的任务就是发动APT攻击。Mandiant花了6、7年时间追踪大陆的APT活动,发现遭受61398入侵最频繁的前四大产业,包括信息、航太、公共行政、卫星及通讯,都是“十二五规画”当中的重点项目。

同年12月,Mandiant被FireEye并购。今年5月,美国司法部以网络间谍罪名起诉5名解放军军官,指他们潜入多家能源公司窃取资料。非常巧合的是,这5名军官皆隶属61398部队。

事隔3周,另一家美国资安公司Crowdstrike公布一份报告,揭露第二支中国网军61486。同样位于上海,这支网军的攻击目标是航太与卫星产业,自○七年活跃至今。

Mandiant及Crowdstrike揭露的网军同在上海,国内资安人员分析,中国解放军有七大军区,“一个军区两组网军,是合理怀疑。”资安人员经过长达10年的追踪,侦查到中国目前至少有10组网军,而特别针对台湾攻击的网军部队,推测就在华南的广州。

此外,Benson和伙伴们在黑客年会也共享,过去5年在台湾最活跃的数百支恶意程序当中发现,9成以上来自同一组人。Benson将之命名为LStudio。全盛时期,这些恶意程序窃取资料涵盖超过5800台电脑,达30个国家。

新形态攻击手法

今年黑客年会将讨论

一般普遍相信,LStudio就位于中国,不排除与中国网军有关。LStudio所扮演的角色,就像是军火商,为网军提供武器,制造恶意程序。这些武器当中,除了寻找各种电脑软件的漏洞,还有研发后门程序。“Taidoor”正是为台湾开发的专属后门。Xecure Lab另一名共同创办人Birdman曾共享,今年《服贸议题》吵得沸沸扬扬时,已有来自中国的黑客伺机行动,搭配微软Word漏洞及Taidoor,对台湾发动APT攻击,邮件附件伪装为“民众对两岸《服务贸易协议》的看法摘要表”。

由于APT入侵手法都是神不知,鬼不觉,目的绝非瘫痪用户网络。为何这次壹传媒集团受到的攻击,却将矛头指向网军?台湾黑客年会总召TT分析,这次攻击并非传统的阻断式服务攻击(Distributed Denial of Service,简称DDoS)。“这次黑客很取巧,转而攻击DNS服务器,”TT解释,DNS协助辨认网络IP位址,当同时有大量查询涌入,DNS将瘫痪。这种放大攻击,要找到源头是非常困难的。这种新形态的攻击手法,也是今年黑客年会的重头戏。

长庚大学信息管理学系主任许建隆研判,尽管是瘫痪,却因为攻击源源不断,实非一般黑客所为。Benson也指出,若要证实是网军,只能从分析恶意程序着手,“显然,证实是中国网军的官员掌握了一些资料才敢这么说。”面对中国强大的“网络导弹”肆意攻击,台湾各界一定要绷紧神经。

资安专家:中国网军利用台湾当攻击跳板

据自由时报报道

中国开发软件 最好别用

根据彭博报导,中国网军除不断且持续入侵我国政府机关外,美国资安公司威瑞特系统(Verint Systems)警告,勿轻易下载使用中国开发的软件,台湾部分社交网站或是博客,早被中国网军入侵,成为网军发动攻击的跳板,攻击对象不只是台湾政府网站,甚至是知名的亚马逊或Google。

资安公司Mandiant研究报告指出,隶属中国解放军部队的网军大本营,位在上海浦东一幢12层高建筑物内。(法新社文件照)

彭博报导指出,甫落幕的台湾黑客年会(HITCON),与会代表讨论焦点不是Android智慧手机的弱点,或虚拟货币比特币(Bitcoin)的安全性,最受瞩目的是如“房间里大象”的中国黑客行径。

来自各地的专家听取网络开“后门”演化简报时,屏幕上IRC网络中继聊天室里出现的问题是:“为什么不用微信(WeChat),因为它来自中国吗?”而微信是中国腾讯集团推出的实时通讯软件,号称全球使用者已超过五亿人,但绝大多数是在中国。

台湾社交网站 早被入侵

威瑞特系统(Verint Systems)副总裁威格分析,一直到今年夏天,中国还不断对台湾发动新一轮的连番猛攻,部分攻击来自“博客虫虫行动(Operation Blog Bot)”;也就是中国使用恶名昭彰的新远端系统管理工具Hammor,透过台湾博客或社交网站发动攻击,再超链接导向至湖北的服务器进行控制及下指令。

台湾威瑞特系统总经理吴明蔚还说,近年以Taidoor和LStudio系列的恶意程序家族最为活跃,光受LStudio控制的台湾电脑就达五千台以上,去年就发现中国网军会使用噗浪、蕃薯藤等社交网站来与恶意程序交换中继站信息。

专家提醒 检查网络流量

网络安全服务商CloudFlare执行长普林斯更指出,今年六月,香港争取行政首长普选的“占领中环”公投网站,遭大规模DDoS(分布式阻断服务)黑客攻击,以复杂多重攻击手法瘫痪网站运作,甚至连亚马逊或Google网络服务支持也挡不住,他们监测到有不少攻击流量来自台湾,很可能是台湾DNS服务器遭挟持所致。

他更提醒,台湾电脑使用者应赶快检查自己的网络流量是否异常,以免被骇还不自知。

据其他资安专家研究,近年来中国及美国之间屡因黑客攻击或网络间谍事件,关系紧张升温,台湾已成中国黑客网络攻击美国前磨练身手的“练兵场”,中国军方主导对美国政府机构、官员和企业的黑客手法,更早前已在台湾出现过雷同攻击。

网 友 留 言

2条评论 in “资安专家:中国网军对台网络攻击大揭密”
  1. 美博园 says:

    已经发布,谢谢

  2. Andrzeja says:

    Update : 23.08.2014
    https://github.com/comeforu2012/truth/wiki/ChromePlus
    2014年8月23日 发布100G的版本,全新的100G流量。旧版用户不需要更新。
    核心程序是Chrome36(D)+GoAgent3.1.22(每天共享100G流量)
    下载后将压缩包解压出来,解压路径中最好不要包含中文,然后看一下说明,按说明操作,非常简单。
    https://github.com/comeforu2012/truth/wiki/FirefoxPlus
    [2014年8月23日] 此版流量是100G/天。以后会根据每个版本流量消耗情况进行经常性更新,所以,使用之前版本的朋友,如果还能用就不需要更新。
    核心程序是Firefox25.0+GoAgent3.1.2(每天共享100G流量)
    新朋友请从下面的地址下载完整的压缩包,本软件不需要安装,下载后将压缩包解压出来,解压路径中最好不要包含中文,然后看一下说明,按说明操作,非常简单。

这里是你留言评论的地方

7 + 5 =

【您可以使用 Ctrl+Enter 快速回复】

Copyright © 2007 - 2017 , Design by 美博园. 版权所有. 【回到顶部】