日本近年觀測到的網路攻擊,在過去十年裡是由個人行為發起為主,例如對存有漏洞的對外公開伺服器進行攻擊,進行網頁篡改或運用網頁注入手法,而一般辦公室的內網攻擊則是以被感染病毒最多。對於此類攻擊,一般組織多以設置防火牆、安裝防毒軟體、即時修補漏洞為防禦措施。
日本近期網路攻擊趨勢變化
不過,自去年以來,網路攻擊型式開始出現組織性的攻擊,並且大量使用社交工程手法及0day漏洞攻擊,造成企業組織的重要資訊財產及個資被竊取,嚴重者甚至導致內部系統遭受破壞。針對此類型的新型攻擊,需要聯合病毒專家、系統整合專家、網路專家及系統實際運營負責人,共同分析網路攻擊者入侵路徑及內部網路的舉動,才有辦法找出有效的因應對策。根據日本新聞去年報導,綜合重型機械廠商的「三菱重工業」受到了外部網路攻擊,合計有83台的伺服器、個人電腦受到惡意程式感染,而自動連接到海外網站,並且IP位址等公司內部網路資訊被竊。
主管日本產業發展的經濟產業省,在2011年9、10月間,也委託獨立行政法人情報處理促進機構(IPA, International Profession Certification Association))針對「三菱重工業」、「IHI」、「川崎重工業」、「富士重工」、「日立」、「東芝」、「三菱電機」、「日本航空宇宙工業會」等8間公司組織實施了調查,發現這些公司表示亦曾遭受同樣攻擊。例如「三菱電機」表示,其與防衛產業相關部門的員工,從2009年7月即開始受到目標式電子郵件攻擊(Targeted E-mail Attack),收到附有惡意程式附檔的郵件,若不慎打開即會感染,資訊有可能受到盜竊。而除了製造戰鬥機引擎、護衛船艦與核能電廠的壓力容器等重工業公司外,外交駐外使館及國會相關人員(如議員、秘書處人員)也受到類似的電子郵件攻擊。
這一類以特定目標鎖定郵件手法為核心的一連串攻擊行動,被稱作目標間諜(APT, Advance Persistent Threat)攻擊(編按:日本視為間諜、國際攻擊,所以有國家因應對策,為表現其文化態度特此保留),是「針對特定的組織或個人,組合各種手法對其實施持續的攻擊,以獲得所要資訊或文件的間諜行為」。由於事件涉及工業產業、國防情報及入侵行為,除了主管經濟與產業的日本經濟產業省外,掌管國防事務的日本防衛省,以及執法機關日本警察廳皆採取了相關調查。
日本防衛省針對與防衛產業相關的約100間公司進行調查,確認有無遭受類似網路攻擊。日本警察廳則公開了在4月到9月間針對日本國內民間企業實施的調查,確認了民間企業收到數百封的目標式電子郵件。而在去年大海嘯導致3月11日發生「東日本大震災」,並且導致核電廠發生洩漏事故後,有一封主旨為「3月30日放射線量狀況」的攻擊郵件,被廣泛的發送,明顯利用了大家關心的時事話題,以誘導收信者閱讀信件並打開附屬的Microsoft Word檔。若恰巧開檔的人沒有確實更新Patch,即會感染惡意程式,成為攻擊者控制的遠端電腦。
APT攻擊問題本質
在網路上有各式各樣的攻擊行為,有的是竊取個資,有的是網路釣魚,也有的是強制用戶裝設流氓軟體。廣義的目標鎖定攻擊(Targeted Attack),主要存在兩類:目標間諜攻擊(就是台灣常稱的APT攻擊)與模糊目標攻擊。目標間諜攻擊多針對國家層級經濟安全有關組織,在網路上實施一連串偵查竊取行為;而模糊目標攻擊,則是對廣泛不界定目標進行攻擊,主要以獲得金錢為目的。這類攻擊活動在諸類網路攻擊裡是最危險,因應最困難的一類,在分析時不應使用一般「病毒感染事件」概念,而應當站在「針對特定系統進行持續的駭客行為」的觀點,因為這種駭客行為導致的是一個組織的人員、系統、業務流程的崩盤。過去的資安對策較著重於在整個系統的「入口」(例如防火牆)進行偵測防衛,針對上述類型目標間諜攻擊,則應在「出口」再強化防禦措施,偵測送出去的封包,以防止資訊被竊出,有部分的惡意程式(例如poison ivy)在將資料傳出去的時候是使用HTTP,有特徵可依循。
對於萬一發生攻擊後洩漏的資訊,對受到攻擊的企業組織,甚或整個社會國家層級造成的影響,需要做正確的評估,經調查歸納,目標間諜攻擊多有以下攻擊階段:
1.攻擊準備階段:調查目標組織,並由直接或間接手段取得該組織相關資訊,尤其是與該組織有來往之其他單位使用之電子郵件地址,與發出之電子郵件本文。
2.初期潛伏階段:鎖定特定組織特定用戶,偽裝成相關人員寄出偽造電子郵件(特定目標鎖定郵件),郵件內附特殊的惡意程式,防毒軟體往往無法偵測示警,導致用戶感染,進入下一個階段。
3.攻擊基礎階段:感染惡意程式後常繼續再下載另外惡意程式,用以與攻擊者進行通訊被遙控,此類通訊常常使用HTTP通信以防止被阻擋(後門)。
4.調查被攻擊系統/網路階段:接下來數週甚至數個月的時間,攻擊者利用惡意程式(常常是遠端控制程式)調查受害者的系統與整個內部網路。亦根據狀況更新,或下載新功能的惡意程式。
5.執行最後目標階段:攻擊者將調查後取得之被害系統內重要資料檔傳回攻擊的遠控端。被害系統內存在的帳號/郵件等資訊,則有可能被利用來對其他組織進行下一波攻擊。
日本政府/業界因應策略
日本經濟產業省在2010年12月召開的「網路安全與經濟研究會」中進行了對策的討論。並且在2011年8月將總結公開,實施了以下對策方案:
1. 組織日本網路資訊共享倡議會J-CSIP(Initiative for Cyber Security Information sharing Partnership of Japan)
目的-以重工業/重電機業等生產重要基礎設施使用機器的廠商為中心,架構資訊共享機制,以預防並防止網路攻擊災害擴大。
成員-IHI、川崎重工業、東芝、NEC、日立、富士重工、富士通、三菱重工、三菱電機、LaC、IPA、日本資訊系統用戶協會、JPCERT/CC、經濟產業省。
作法-
(1)今年內預訂實施資訊共享規則等,並擴大參加成員企業。
(2)以IPA為資訊集中點,設置「目標式網路攻擊諮詢窗口」;並將資訊以匿名化處理後在成員間共享;以對目標式攻擊進行實體調查,共有早期警戒資訊與強化;在會員企業設立CSIRT(Computer Security Incident Response Team)。
2. 強化重要基礎設施安全
進行日、美合作,建構重要基礎設施的資訊安全驗證環境。使用美國能源省管轄的愛達荷(Idaho)國家實驗室,針對重要基礎設施的控制系統,進行模擬網路攻擊及安全驗證設施,而針對人員訓練部分,日本內閣官房資訊安全中心(NISC)則在2011年10月至12月期間,對政府機關職員等6萬人實施了網路攻擊模擬演練。不定時對訓練對象職員發送了2次模擬目標式電子郵件。第一次訓練的郵件被開啟率為10.1%,人數達到 6千人。第二次開啟率則降至3.1%。演練結果分別通知了各部會,並對開啟人員實施因應指導。
日本目標式電子郵件攻擊之特色
APT攻擊的核心為特定目標式電子郵件攻擊,有以下特徵:偽裝與社交活動相關,偽造郵件來自可信賴的組織或利用高度關心的社會話題。目標式電子郵件經常使用由相關業界竊取來的郵件,利用其本文及寄件人、收件人資訊,為達到即時性,竊取得的郵件通常在幾個小時內就會被利用來實施攻擊,使收信的被害人更容易受騙。依照IPA收到的報告,目標式電子郵件的偽造寄件人,49%為政府部會,13%為獨立行政法人,11%為民間企業,27%是其他。惡意程式有可能為執行檔或壓縮檔,而最近流行的形式為文件型檔,例如微軟Office或Adobe PDF檔。例如去年目標攻擊之一使用了Adobe Reader/Adobe Flash漏洞(CVE-2011-0611),是一個在2011年公開的漏洞,因此只要定期上Patch修補,就能避免這個攻擊。關於目標式電子郵件的附檔惡意程式利用的漏洞,47%為Adobe Reader,19%為Microsoft Word,17%為Flash Player,8%為 LibTIFF,6%為 Internet Explorer,3% 為Microsoft Excel。
網路戰爭 美日不排除自我防衛
美國繼成立了「網戰指揮總部」後,又公布了網路安全行動戰略,將網路安全納入軍事防衛,並把網路攻擊定位成戰爭行為,並透露了採取軍事報復措施的可能性。日本外務省也在 2012年4月召開的資訊安全政策會議,提議將聯合國憲章等國際法適用於網路空間。依照聯合國憲章,當一個會員國受到他國武力攻擊,而安理會尚未採取必要措施期間,會員國可以動用武力進行自我防衛。
如APT其名稱,此類攻擊有相當大可能性為間諜行為。此類攻擊常被以「網路攻擊」一筆帶過,但是不同的攻擊者有不同的動機,瞄準欲竊取的資訊也是千差萬別。例如一般犯罪集團最樂於拿取的是用戶的信用卡卡號等金錢財務資訊,而真正的間諜行為攻擊則對此類資訊不予一瞥。所以有必要針對「到底什麽樣的資訊被偷?」與「到底攻擊者是誰?」進行明確的驗證與探究,才有辦法採取正確/有效的防衛/防範措施。
然而網路攻擊行為若判定為間諜行為甚或戰爭行為,國家層級的合縱連橫將不可或缺,如何在受到攻擊,成為受害者的國家間進行實質攻擊層面資訊交換合作,也將成為首要課題。
參考文獻:
1. 因應「新類型攻擊」的系統設計運營指針
2. 日本網路資訊共享倡議會( J-CSIP)
3. 內閣舉行目標式電子郵件演練
註:本文作者為日本電腦網路危機處理暨協調中心分析員。