美國網路安全公司火眼(FireEye)報告指出,中共資助的駭客團體「進階持續威脅41 (Advanced Persistent Threat 41,以下簡稱APT41)」不僅為中國當局執行間諜工作,也為私人營利進行駭客活動。
儘管這兩種行動目的不盡相同,在技巧和策略上卻是相輔相成,而港台媒體甚至華碩都在受害者名單中。
火眼認為,APT41的網路活動凸顯了「國家力量與犯罪之間的模糊界線」,而資源充足、技能持續精進的APT41恐會對愈來愈多國家及組織構成威脅。
中國國家駭客APT41鎖定英美等14國
8月7日火眼在拉斯維加斯的「黑帽安全會議(Black Hat security conference)」上釋出一份報告,表示稱作「APT41」的中國駭客團體,除了為中國政府執行間諜任務,也會藉由網路犯罪「賺外快」。
APT41至少從2012年便開始活動,鎖定14個國家7年以上,包括美國、英國、法國、日本、南韓、新加坡等國。
它關注的企業組織遍布各界,包含科技業、媒體、健康照護、製藥、零售、軟體、電信、旅遊服務、教育、電玩遊戲和虛擬貨幣。
其中,APT41又特別聚焦於與中國經濟計劃有關的產業,針對可能發生的公司併購、收購還有政治活動蒐集情資,或是侵入計畫與中國企業建立非公開合作關係的零售商,還有駭入電信通訊公司收集通話紀錄數據。
華碩今年3月也遭「供應鏈攻擊」
APT41戰勛彪炳,其最令人印象深刻的行動之一,是2017年在協助電腦清除垃圾檔案的軟體CCleaner中植入惡意程式,導致上百萬用戶電腦遭到感染。
台港也無法倖免於難,台灣一家報業及香港泛民派媒體都曾受到APT41「魚叉式網路釣魚(註1)」攻擊。
此外,俄羅斯電腦安全公司卡巴斯基實驗室(Kaspersky)今年3月發現,APT41駭入華碩的軟體更新伺服器,藉此散布惡意軟體並植入後門程式。儘管華碩立即針對該攻擊修復漏洞,估計仍有近百萬部電腦受到影響。
APT41運用魚叉式網路釣魚,或以經過設計的電子郵件誘導使用者輸入登入資訊,同時也會使用較難偵測且規模龐大的Rootkit(註2)和供應鏈攻擊。火眼指出,總體而言APT41曾採用大約150種不同的惡意軟體。
「報效國家」與「賺外快」並行不悖
此外,APT41還會使用非公開惡意軟體攻擊遊戲公司,以謀取利益,而這些軟體基本上多用來從事間諜工作。
他們屢次入侵遊戲開發公司,並把如意算盤打在遊戲內的虛擬貨幣上。在一個案例中,APT41在某遊戲內製造了價值數千萬美元的虛擬貨幣,然後將之分散到1000個以上的帳號中。
火眼報告表示,APT的「私營事業」與國家指派的「間諜任務」在技術與策略上是承先啟後、相輔相成。
2014年一起案例中,APT41將惡意程式碼插入正常的遊戲檔案,藉此散播惡意軟體,而它也以類似手法鎖定其監控的供應鏈公司;2016年一家美國遊戲開發工作室遭到惡意程式攻擊,火眼在之後兩年的幾起企業網路攻擊中,便辨識出與該惡意程式有所重複的原始碼。
火眼也發現一個APT41使用的電子郵件地址,不僅2016年用來對一家台灣報業進行魚叉式網路釣魚,2018年又用於加密貨幣交易。
除為了「開源」主動出擊,APT41的成員也會為自己的駭客服務打廣告,以接案方式賺取外快。
中國駭客間諜活動、商業犯罪雙管齊下
火眼「確信」APT41的成員是為中國政府工作的中國人,而其駭客與鎖定能力蒸蒸日上,代表愈來愈多組織可能處於被駭的風險中。
火眼報告指出,或許APT41享有某種「保護」,讓中共願意對它不法獲利的行為睜一隻眼閉一隻眼,但也不排除APT41單純就是逃過了政府的監督。
「無論如何,APT41的行動顯示,在國家力量與犯罪之間,只有一條模糊的界線」火眼表示。
火眼副總裁喬伊斯(Sandra Joyce)認為APT41不但資源充足,而且技能高超。「有別於其他駭客團體,APT41在『間諜活動』和『網路犯罪』持續採取侵略行為,對許多產業造成巨大威脅」她說。
不過,現任及前任西方國家的情報官員告訴《路透社》,中國駭客團體善於在「間諜活動」與「商業犯罪」雙管齊下,早已不是什麼新鮮事。
《路透社》也針對此事向中國官方詢問,對方並未回應。對於西方國家的指控,北京向來否認自己從事大規模網路間諜活動。
(註1:指針對性攻擊,鎖定特定個人或某機構員工,根據其電子郵件、社群網站帳號或是使用習慣上的弱點,設計出一個具有說服力的訊息內容,並在其中夾帶具感染性的惡意附件檔案或連結,引誘對方開啟。)
(註2:Rootkit能將惡意程式碼隱藏在軟體內,常為電腦病毒或間諜軟體使用,以破壞或監控下載了該軟體的裝置。)