資安專家：中國網軍對台網路攻擊大揭密

據財訊報道：國內媒體遭到監控並非一朝一夕之事，除《蘋果日報》外，連國家通訊社中央社也早已被中國網軍監控了。 中國網軍甚至還針對台灣開發專屬後門程序｢Taidoor｣…

為爭取2017年香港特首普選的｢佔中公投｣，是繼今年3月｢太陽花運動｣以來，挑動兩岸三地最敏感政治神經的議題。中國官方媒體諷刺｢佔中公投｣：｢人再多也沒有13億人多。｣此言一出，立刻引起台港兩地回嗆：｢有種讓13億人民主！｣

早已被中共視為眼中釘的壹傳媒主席黎智英，積极參与並號召人們上街頭，卻在深夜遊行時，被告知該集團網站遭駭客攻擊而癱瘓。事發後，黎智英說：｢這時間他一定搞你。｣｢他｣是誰？台灣《蘋果日報》言之鑿鑿，將矛頭指向中國網軍，並聯合國內15家媒體及多名學者聯署發起｢譴責網軍，捍衛媒體自由｣活動。

但國內專門研發、防堵高級持續性滲透攻擊（Advanced Persistent Threat，簡稱ＡＰＴ）產品的資安團隊Xecure Lab共同創辦人Benson，揭露了更驚人的內幕，｢《蘋果日報》、中央社，早已成為被長期監控的對象了！｣Benson與兩名中央研究院研究員也於去年全球駭客年會上發表這項報告。

入侵重要媒體

癱瘓網站輕而易舉

Benson表示，無法確認監控已為時多久。他透露，去年在蒐集ＡＰＴ樣本時，驚覺國內兩家媒體淪陷。經過一輪調查，發現是《蘋果日報》及中央社。ＡＰＴ攻擊是近年資安圈的重大議題，據了解，早期美國空軍為了形容中國的網路軍隊組織，為免打草驚蛇，暗地裡給了ＡＰＴ這樣的代號。沿用至今，ＡＰＴ幾乎已和網軍畫上等號。

國內一組長期追蹤中國網軍的人員也指出，台灣最早出現ＡＰＴ攻擊是○三年，事隔10年，台灣遭入侵情況非但沒改善，反而愈來愈險惡。

網軍入侵目的有異於一般駭客，不為錢、不為名。駭客攻擊目的，總括而言有三項：錢、名、政治目的。｢我從你身上或從別人身上得到1塊錢沒有差別，｣Benson解釋，由於缺乏資源，一般駭客較少採取類似ＡＰＴ這種必須經過周密部署且長期潛伏的入侵方式，不符經濟效益。至於為名，如去年震驚台菲的｢廣大興號事件｣，就有一群Benson口中的｢憤青駭客｣以｢匿名者｣組織（Anonymous）之名攻擊菲律賓一些官方網站。

美國資安公司FireEye於今年2月公布的年度報告指出，發動ＡＰＴ攻擊主要目的有三：竊取專利、竊聽政府單位敏感通訊、破壞國安單位防護。長期潛伏並不間斷竊取機密資料，才是網軍的最終目的。創立於○四年的FireEye自去年掛牌上市以來，受到相當多關注，主因是協助美國情治單位，包括中央情報局（ＣＩＡ）等網羅最先進情報科技的風險投資機構In-Q-Tel是股東之一。這份報告也點名台灣為全球10大最常遭受ＡＰＴ攻擊的目標，排名第8。

由於ＡＰＴ的目標是具有針對性的，因此發動攻擊者也會為目標量身打造惡意程序。換言之，每一支惡意程序都是獨一無二的。惡意程序主要藉由各式電腦軟體的漏洞作為掩護，再通過社交工程引誘使用者點擊挾帶惡意程序的郵件。Benson共享一個案例：國內兩名學術人員通過電子郵件討論研究，其中一人早已被網軍盯上，另一人則是下一個目標。網軍冒用已被盯上的那名學術人員的電子郵件寄了一封推薦助理的信件給另一名學者，並附上履歷，而成功入侵。

ＡＰＴ攻擊手法非常縝密周延，有組織、有部署的網軍分工合作，各司其職。據了解，長時間監控《蘋果日報》及中央社的均屬同一個人，任務是確認目標單位持續回傳機密資料。這次《蘋果日報》事件證明網軍有能力入侵併長期監控，要癱瘓恐怕是易如反掌。作為國內大部分媒體主要消息來源的中央社，一旦被癱瘓，後果不堪設想。

中國網軍各司其職

廣州部隊對準台灣

國內資安人員開玩笑稱，｢儘管他們很可惡，但網軍也是人，也有過勞現象哦！｣資料顯示，每天早上8點至10點，是網軍啟動及發出攻擊的第一波高峰；下午3點至5點，則是第二波。活躍時間延續至深夜11、12點，周而復始。

最先公開揭露中國網軍的是美國資安公司Mandiant。去年初，Mandiant發布了一項駭人的報告，內容巨細靡遺描述了位於上海浦東新區，有一支｢61398部隊｣。這支部隊的任務就是發動ＡＰＴ攻擊。Mandiant花了6、7年時間追蹤大陸的ＡＰＴ活動，發現遭受61398入侵最頻繁的前四大產業，包括信息、航太、公共行政、衛星及通訊，都是｢十二五規畫｣當中的重點項目。

同年12月，Mandiant被FireEye併購。今年5月，美國司法部以網路間諜罪名起訴5名解放軍軍官，指他們潛入多家能源公司竊取資料。非常巧合的是，這5名軍官皆隸屬61398部隊。

事隔3周，另一家美國資安公司Crowdstrike公布一份報告，揭露第二支中國網軍61486。同樣位於上海，這支網軍的攻擊目標是航太與衛星產業，自○七年活躍至今。

Mandiant及Crowdstrike揭露的網軍同在上海，國內資安人員分析，中國解放軍有七大軍區，｢一個軍區兩組網軍，是合理懷疑。｣資安人員經過長達10年的追蹤，偵查到中國目前至少有10組網軍，而特別針對台灣攻擊的網軍部隊，推測就在華南的廣州。

此外，Benson和夥伴們在駭客年會也共享，過去5年在台灣最活躍的數百支惡意程序當中發現，9成以上來自同一組人。Benson將之命名為LStudio。全盛時期，這些惡意程序竊取資料涵蓋超過5800台電腦，達30個國家。

新形態攻擊手法

今年駭客年會將討論

一般普遍相信，LStudio就位於中國，不排除與中國網軍有關。LStudio所扮演的角色，就像是軍火商，為網軍提供武器，製造惡意程序。這些武器當中，除了尋找各種電腦軟體的漏洞，還有研發後門程序。｢Taidoor｣正是為台灣開發的專屬後門。Xecure Lab另一名共同創辦人Birdman曾共享，今年《服貿議題》吵得沸沸揚揚時，已有來自中國的駭客伺機行動，搭配微軟Word漏洞及Taidoor，對台灣發動ＡＰＴ攻擊，郵件附件偽裝為｢民眾對兩岸《服務貿易協議》的看法摘要表｣。

由於ＡＰＴ入侵手法都是神不知，鬼不覺，目的絕非癱瘓用戶網路。為何這次壹傳媒集團受到的攻擊，卻將矛頭指向網軍？台灣駭客年會總召ＴＴ分析，這次攻擊並非傳統的阻斷式服務攻擊（Distributed Denial of Service，簡稱DDoS）。｢這次駭客很取巧，轉而攻擊ＤＮＳ伺服器，｣ＴＴ解釋，ＤＮＳ協助辨認網路ＩＰ位址，當同時有大量查詢湧入，ＤＮＳ將癱瘓。這种放大攻擊，要找到源頭是非常困難的。這種新形態的攻擊手法，也是今年駭客年會的重頭戲。

長庚大學信息管理學系主任許建隆研判，儘管是癱瘓，卻因為攻擊源源不斷，實非一般駭客所為。Benson也指出，若要證實是網軍，只能從分析惡意程序著手，｢顯然，證實是中國網軍的官員掌握了一些資料才敢這麼說。｣面對中國強大的｢網路導彈｣肆意攻擊，台灣各界一定要繃緊神經。

資安專家：中國網軍利用台灣當攻擊跳板

據自由時報報道

中國開發軟體 最好別用

根據彭博報導，中國網軍除不斷且持續入侵我國政府機關外，美國資安公司威瑞特系統（Verint Systems）警告，勿輕易下載使用中國開發的軟體，台灣部分社群網站或是部落格，早被中國網軍入侵，成為網軍發動攻擊的跳板，攻擊對象不只是台灣政府網站，甚至是知名的亞馬遜或Google。

資安公司Mandiant研究報告指出，隸屬中國解放軍部隊的網軍大本營，位在上海浦東一幢12層高建築物內。（法新社文件照）

彭博報導指出，甫落幕的台灣駭客年會（HITCON），與會代表討論焦點不是Android智慧手機的弱點，或虛擬貨幣比特幣（Bitcoin）的安全性，最受矚目的是如｢房間里大象｣的中國駭客行徑。

來自各地的專家聽取網路開｢後門｣演化簡報時，螢幕上ＩＲＣ網路中繼聊天室里出現的問題是：｢為什麼不用微信（WeChat），因為它來自中國嗎？｣而微信是中國騰訊集團推出的實時通訊軟體，號稱全球使用者已超過五億人，但絕大多數是在中國。

台灣社群網站 早被入侵

威瑞特系統（Verint Systems）副總裁威格分析，一直到今年夏天，中國還不斷對台灣發動新一輪的連番猛攻，部分攻擊來自｢部落格蟲蟲行動（Operation Blog Bot）｣；也就是中國使用惡名昭彰的新遠端系統管理工具Hammor，通過台灣部落格或社群網站發動攻擊，再超鏈接導向至湖北的伺服器進行控制及下指令。

台灣威瑞特系統總經理吳明蔚還說，近年以Taidoor和LStudio系列的惡意程序家族最為活躍，光受LStudio控制的台灣電腦就達五千台以上，去年就發現中國網軍會使用噗浪、蕃薯藤等社群網站來與惡意程序交換中繼站信息。

專家提醒 檢查網路流量

資訊安全服務商CloudFlare執行長普林斯更指出，今年六月，香港爭取行政首長普選的｢佔領中環｣公投網站，遭大規模DDoS（分散式阻斷服務）駭客攻擊，以複雜多重攻擊手法癱瘓網站運作，甚至連亞馬遜或Google網路服務支持也擋不住，他們監測到有不少攻擊流量來自台灣，很可能是台灣ＤＮＳ伺服器遭挾持所致。

他更提醒，台灣電腦使用者應趕快檢查自己的網路流量是否異常，以免被駭還不自知。

據其他資安專家研究，近年來中國及美國之間屢因駭客攻擊或網路間諜事件，關係緊張升溫，台灣已成中國駭客網路攻擊美國前磨練身手的｢練兵場｣，中國軍方主導對美國政府機構、官員和企業的駭客手法，更早前已在台灣出現過雷同攻擊。