2023年11月7日 星期二
零時差攻擊的暗黑真相
有時會覺得接到詐騙集團電話好像已經是一種日常。我有次用髒話回應了一家詐騙集團,他們居然偽裝我的手機號碼打電話到我手機,說要用我的手機號碼去詐騙,讓我照三餐被檢警調傳喚調查,然後瘋狂騷擾我一整晚⋯⋯
這些該死的詐騙集團利用攻擊企業或政府的資料庫系統非法獲取個人資訊,可能涉及多種攻擊方法,包括資料庫系統的入侵、資料竊取、資料破壞等。這些攻擊可能利用已知的軟體漏洞、弱點或社交工程等手法來獲取未授權的存取,進而竊取或損毀敏感資料。
以上還算小兒科,另一種可能是更高竿的攻擊方式,駭客利用操作系統中的漏洞,安裝勒索軟體,然後試圖把硬碟整個加密,以要求受害者支付加密貨幣贖金以解密資料。我就見過中招的電腦,還好那顆硬碟被加密到一半就被發現,因為不想讓駭客得逞,花了更多經費和差不多半年時間讓資訊安全廠商解密⋯⋯
這種「零時差攻擊」(Zero-Day Attack)中,駭客利用尚未被廠商或軟體開發者發現或修補的安全漏洞來進行攻擊。這種漏洞通常是未知的,且在攻擊發生前,相關方面還沒有足夠的時間來解決或封堵這些漏洞,因此受害者無法事先採取任何防範措施。一旦漏洞被揭示或攻擊發生,廠商或軟體開發者可能會努力快速修補漏洞,並發布安全更新或補丁,以保護受影響的系統免於進一步受到攻擊。
當我讀了這本《零時差攻擊:一秒癱瘓世界!《紐約時報》記者追蹤7年、訪問逾300位關鍵人物,揭露21世紀數位軍火地下產業鏈的暗黑真相》(This Is How They Tell Me the World Ends: The Cyberweapons Arms Race),我真的感到害怕,從此以後只要任何操作系統或軟體要更新到最新的版本,我一定不假思索馬上更新!
《紐約時報》網路安全線資深記者妮可.柏勒斯(Nicole Perlroth)在《零時差攻擊》詳細描述了複雜、高風險的網路戰世界。她調查了國家支持的網路攻擊的起源、網路武器的演變以及正在進行的網路軍備競賽的潛在後果,還探討了企業、犯罪集團和個人駭客在開發和部署這些武器中的作用。當然,這本書也討論了各種備受矚目的網路攻擊,例如震網(Stuxnet)和想哭病毒(WannaCry)勒索軟件攻擊,以說明這種新型戰爭的潛在災難性影響。
在這個世界上,沒使用過智慧手機和人工智慧(AI)的阿宅碩果僅存,這些「零時差攻擊」,可能會讓我們個人乃至整個國家社會陷入危險中,更恐怖的是,根據柏勒斯的臥底冒死調查,這些資安漏洞的資訊,在國際上有旺盛的地下市場,而列強政府正是主要交易者。
柏勒斯奔走歐洲各國、美國、阿根廷、俄羅斯、烏克蘭、台灣、中國、北韓、以色列、伊朗,對超過三百人進行了七年的採訪,包括數位軍火產業鏈中的駭客、學者、異議分子、影子經紀人到各國政府高層與外國傭兵,並將她的發現濃縮成這本《零時差攻擊》。她發現全球電腦系統的脆弱性可能遠超我們想像,網路安全的問題甚至可能還未充分被企業和政府重視。她希望能為高度隱秘且基本上暗無天日的網絡武器危機帶來一絲曙光,讓整個社會能夠認識到問題的嚴重性與危害!
《零時差攻擊》出版時,俄國尚未蠻橫入侵烏克蘭,但柏勒斯已潛入基輔,見識到俄國利用零時差攻擊干涉烏克蘭的現場。俄國對烏克蘭實施了各種形式的網路攻擊和資訊戰。這些攻擊可能包括針對政府組織、軍事機構、媒體和基礎設施的攻擊,無所不用其極地破壞通訊、竊取機密資訊或干擾烏克蘭的日常運作。俄國甚至曾駭入烏克蘭輸電系統,在寒冬中造成長達六個小時的全國大停電。其他具體的零時差攻擊案例在公開報導中並不常見,因為這些攻擊通常涉及使用未知的軟體漏洞,而且攻擊發生後往往不會立即被公開。
就連資訊大國美國,本身就是個加害者和受害者的複合體。2020年底爆發的SolarWinds攻擊就是一個發生在美國的嚴重零時差攻擊案例。駭客透過入侵美國軟體公司SolarWinds的載具軟體,成功在該公司的軟體更新中植入了後門程式碼。當客戶下載和安裝受感染的更新後,駭客便能夠進入受害組織的網絡,竊取敏感資訊,進行偵察、監控和其他惡意活動。這次攻擊造成了嚴重的後果,尤其是針對美國政府機構和企業,包括美國中央情報局(CIA)、國防部、國務院和能源部等。駭客據報成功竊取了大量機密資訊,包括政府文件、機密電子郵件和敏感的安全漏洞資訊。
以上案例絕非個案,2019年至2020年間,美國六百多個城鎮、城市和郡縣遭到勒索軟體攻擊,導致醫院、警察部門等部門關閉。 美國的對手如俄國、中國、伊朗和北朝鮮,可能早已徹底滲透了運行美國一些最重要基礎設施的電腦系統,這些基礎設施不僅包括電網和水壩,還包括核電廠。
儘管在傳統武器上,美國有壓倒性優勢,可是面對網路攻擊,美國反而捉襟見肘——要阻止網路攻擊比阻止傳統攻擊要困難得多,雖然美國顯然也具備強大的網路攻擊力,可是作為地表上網際網路最發達的國家之一,美國比許多落後國家的敵人更容易受到此類攻擊。另外,網路攻擊也相對價廉物美,可是網路防禦所費不貲。
根據前美國國防部長倫斯斐在2002年2月回應記者關於伊拉克戰爭提問時的名言:「據我們所知,有『已知的已知』,有些事,我們知道我們知道;我們也知道,有 『已知的未知』,也就是說,有些事,我們現在知道我們不知道。但是,同樣存在『未知的未知』——有些事,我們不知道我們不知道。」
而零時差攻擊,利用的就是「未知的未知」的漏洞,因此要提早防備更是困難重重。許多國家政府和駭客也非一般的聘僱關係,他們是接單作骯髒的工作,追溯到他們工作的地點是難如登天,要找駭客算帳報仇雪恨是非常困難的。
《零時差攻擊》探討了駭客在零時差攻擊中扮演的角色之起源和演變。剛開始,不少駭客樂於義務為谷歌、微軟、甲骨文等大企業從成萬上億行程式碼中找出漏洞並修補。柏勒斯潛入駭客的社群讓一些駭客鬆口後,發掘出美國國家安全局和其他政府機構在尋找、購買或製造網絡武器方面的作用:美國的脆弱性恐怕還是自找的——美國情報機構創造完全不受監管的灰色市場,以便交易極其有利可圖的網路攻擊方式 。
資安公司向駭客懸賞零時差漏洞,隨著政府機構也高價收購零時差漏洞,於是駭客開始囤積這些資安漏洞,還衍生出零時差漏洞掮客,資訊天才、影子仲介商、間諜組織都共襄盛舉。 駭客食髓知味後,開發出極其危險的數位武器,然後價高者得。更奇葩的是,美國政府居然以為只有他們才能攻擊他國政府,自己卻可能疏於防範。
美國利用零時代攻擊惡搞他國最有名的案例是發生於2010年的震網(Stuxnet)攻擊,這是由以色列和美國聯合開發的一個複雜的電腦蠕蟲。該攻擊的目的是破壞伊朗的核設施,特別是用於濃縮鈾的離心機震網的攻擊方式非常獨特且具有高度專門化。它利用了多個未知的漏洞,以零時差攻擊的方式入侵伊朗核設施的控制系統。一旦感染了目標系統,震網能夠尋找特定的硬體和軟體條件,並針對控制離心機的可程式邏輯控制器進行特定的操作,讓離心機在不被察覺的情況下變化運作參數而徒勞無功。震網的攻擊展示了零時差攻擊的威力和潛力,以及這種攻擊方式對於關鍵基礎設施的破壞性。
許多零時差攻擊的案例並非只發生在美國本土,2010年,中國駭客集團發起「極光行動」針對谷歌進行惡意攻擊,其中包括針對谷歌的員工進行釣魚攻擊,試圖入侵他們的電腦系統,以及利用漏洞攻擊谷歌的內部網路。中國駭客成功入侵了谷歌的內部系統,並獲取了包括知識產權和用戶資料在內的敏感資訊。作為對這些攻擊的回應,谷歌於2010年宣布停止在中國經營被審查的搜索服務,並把其中國網站重新定向到香港。這被視為谷歌退出中國市場的一個重要轉折點。
一個攻擊全世界的著名案例是北韓駭客的「想哭病毒」(WannaCry),於2017年5月爆發的一場全球性的勒索軟體攻擊。這種勒索軟體利用Windows作業系統的漏洞進行傳播和感染,將受感染的電腦上的檔案加密,並要求受害者支付贖金以獲得解密金鑰。WannaCry攻擊對全球範圍內的組織和個人造成了廣泛的破壞,包括政府機構、醫療機構、學校、企業等等。許多受影響的組織的電腦系統被感染,造成資料損失、生產中斷、系統崩潰等問題。這個攻擊揭示了組織和個人在保護自己免受惡意軟體和勒索軟體攻擊方面的脆弱性。
禍不單行,另一個慘痛的案例是2017年6月爆發NotPetya,也是一種嚴重的勒索軟體攻擊,對全球各地的組織造成了嚴重的破壞。NotPetya勒索軟體最初是透過釣魚電子郵件和偽裝的軟體更新來傳播的。一旦系統感染,NotPetya勒索軟體會快速加密受害者的檔案並鎖定其系統。NotPetya的攻擊行為不僅僅是要求贖金支付解密金,它還對受害者的系統進行了破壞性操作。NotPetya攻擊波及了全球各地的組織,包括跨國公司、政府機構、醫療機構和金融機構。許多受害者在攻擊後經歷了系統停擺、資料丟失和業務中斷等嚴重後果。NotPetya攻擊總共造成了上兆美元的經濟損失。受害組織需要花費大量時間和資源來修復受損的系統、復原資料並重新啟動業務。此外,一些受害者也遭受了品牌聲譽損失和客戶信任問題。
想當然,零時差攻擊在台灣也會造成大災難!台灣許多組織和企業依賴外部供應鏈,尤其是資訊科技和電子產業。這使得台灣的系統和網路容易受到來自供應鏈中其他國家的攻擊或入侵。周所皆知,台灣企業和政府有時候是極其摳門的,有些電腦仍使用過時的系統和軟體,可能存在漏洞和弱點,容易受到零時差攻擊的利用。並且企業和政府有些管理階層的資訊安全意識仍然相對薄弱,缺乏相應的培訓和教育,員工可能會疏忽安全措施,例如點擊惡意連結、下載不安全的檔案等等,從而為零時差攻擊提供潛在的破口。
這些零時差攻擊對個人、企業和甚至整個國家的安全造成嚴重威脅。零時差攻擊可能導致系統的停擺或生產中斷,特別是對關鍵基礎設施和重要服務的攻擊。這可能導致網路服務中斷、交通管制系統癱瘓、醫療機構無法正常運作等後果,對社會運作和公眾安全帶來重大影響,讓國家不戰而敗。另外,零時差攻擊可能瞄準企業的知識產權,盜取技術資料、研發成果、商業機密等等。這可能對台灣企業的競爭力和市場地位造成嚴重損害,並導致國家的經濟損失,防範這種攻擊至關緊要!
《零時差攻擊》讓我們了解零時差漏洞的歷史、政策、戰略、技術和間諜活動,這對處理網路安全的方式需要發生的重大變化提供了寶貴的資訊!
本文原刊登於閱讀最前線【GENE思書軒】
沒有留言:
張貼留言