【臺灣資安大會直擊】Google在臺揭露俄烏戰爭背後的網路威脅態勢，有更多國家與個人也成目標，遠超傳統戰爭邊界

資安威脅加劇成全球重大風險，2022年2月俄羅斯入侵烏克蘭之後，這場衝突引發的網路威脅變化，引發全球關注，對於臺灣而言，因長期飽受周邊國家威嚇，更希望能從中掌握強化防禦的關鍵。

這一年來，我們已經看過許多資安業者對烏克蘭戰爭的分析，顯示網路攻擊在國際武力衝突下，持續發揮重要作用。而在2023臺灣資安大會的第一天，追蹤全球200多個駭客組織的Google威脅分析小組（Threat Analysis Group，TAG），向所有與會者介紹他們的發現，希望全球對這場衝突帶來的網路威脅格局變化，都能有更清楚的認識，才能進一步思考對策。

在衝突前俄網路攻擊力道就已加大，並針對北約國家發動攻擊，還有全球網路輿論影響

對於一般民眾而言，關於現代戰爭面貌的想像，可能仍停留在陸海空軍力的實體行動，但去年俄羅斯軍隊入侵烏克蘭的戰事中，其實已經明確的呈現出軍事與網路攻擊混合的現況。

只是，這些網路攻擊帶來的危害，並不像現實砲火顯著，但這些網路攻擊有何不同？Google威脅分析小組資深總監Shane Huntley指出，在這場衝突下，有三大網路威脅面向最值得優先關注，包括：政府支持的網路攻擊者、影響輿論的行動（Influence Operations），以及網路犯罪。

對於臺灣而言，我們必須體認到，這些攻擊者多年來都不願停手，持續對烏克蘭發動網路攻擊，亦在網路影響公眾意見，並在戰時提高網攻力度。

焦點一：政府支持的網路攻擊者（Government-backed attackers）

關於政府支持的網路攻擊者的威脅，Shane Huntley表示，做為Google旗下眾多安全團隊之一的TAG小組，他們秉持保護Google與全球用戶的使命，早在13年前就已經開始展開。這是因為，Google在2009年遭到政府支持的駭客組織攻擊，為了應對這些威脅，當時便成立了TAG小組。因此，他們的團隊在這方面相當有經驗。

在最近一年，俄羅斯入侵烏克蘭的衝突之下，Google也積極保護烏克蘭的用戶、協助烏克蘭的政府，持續使世界變得更安全。而在這些安全防護工作的背後，TAG看到了各種APT攻擊，以及受政府支持的網路攻擊行動、網路間諜活動，而經過長時間的研究分析之後，他們發現4個主要現象。

首先，Shane Huntley指出，早在發動入侵之前，其實，俄羅斯的網路攻擊準備工作，就已經開始進行。

回顧俄羅斯政府支持的攻擊者行動，可以知道這樣的狀況。根據過去10年Google對俄羅斯發動網路攻擊的觀察，烏克蘭一直是俄羅斯主要目標。但在2022年戰事爆發前夕，俄羅斯明顯開始加強網路攻擊，針對烏克蘭的攻擊活動，要比2020年增加了2.5倍。這顯現俄羅斯對烏克蘭發動網路攻擊，投入更多的力量。

第二，在這場軍事衝突發生之後，他們觀察到一波波具有破壞性活動的惡意軟體，襲擊烏克蘭，這是與以往攻擊最大不同之處。

值得我們留意的是，這些攻擊者的實際攻擊對象，並不只是大家認知的軍事重要目標。例如，俄羅斯不僅攻擊烏克蘭的國防部與外交部，也針對市政府、司法部門、鐵路，以及關鍵基礎設施等，進行網路攻擊。其主要目的就是，藉由襲擊民間基礎設施，企圖破壞當地民眾對政府的信任。這其實也意味著，層出不窮的網路攻擊行為，其實也鎖定了烏克蘭民眾的日常生活。

第三，這是一場範圍更廣泛的網路攻擊行動，更多國家也成為目標，遠遠超出戰爭的邊界。儘管大家注意到，實際的戰事可能集中在烏克蘭邊境，但各種衝突與攻防的發生並不僅是表面看起來的那樣。

例如，北約國家用戶面臨到更嚴重的針對性攻擊。根據Google的觀察，俄羅斯鎖定北約國家用戶的攻擊，增加了3倍之多，而白俄羅斯政府支持的駭客組織PUSHCHA，也是主要攻擊者之一。

第四，雖然國際間有很多預測提到：在俄羅斯持續發動網路攻擊之下，將立即看到基礎設施遭破壞性攻擊，但Google的觀察結果是：這些針對CI的攻擊，成功率並不如大家想像得那麼高。

談到這裡，關於破壞性網路攻擊（Destructive Attacks），Shane Huntley認為，許多人可能都忽略一件事：若要實現破壞性攻擊，實際上，必須先獲得目標系統的存取權限，才能執行惡意資料刪除軟體，因此並非一發動攻擊就結束，其實，破壞性攻擊只是進階持續攻擊最後階段。

此外，有許多人擔憂這種破壞性攻擊，會擴散到北約或美國之外，這樣的推論是可以理解的，不過，實際上，TAG小組並未看到這種情況明顯發生。

整體而言，他們發現相當多國家支持的網路攻擊活動存在，而且，這些網路攻擊者其實各有各的任務。例如，經過他們的分析，有些組織的行動只針對烏克蘭，有些則擴展到澳洲、南美洲、中東與東南亞。而從針對產業類型與攻擊行動類型來看，有些攻擊者專門針對重要目標，鎖定政府、軍事發動網路攻擊，也有一些攻擊者主要從事間諜活動，有的則同時進行影響輿論行動與實際破壞性攻擊，以及少數組織專門施以破壞性攻擊。

不僅如此，這些攻擊活動不只是俄羅斯在幕後發動，白俄羅斯政府支持的駭客組織也在這場戰事上發揮了重要作用。

而從今年2月TAG發布的研究報告來看，這些威脅攻擊組織主要有6個，其中5個由俄羅斯政府支持，分別是Sandworm、Fancy Bear、Callisto Group、UNC2589，以及Uroburos，另一個是白俄羅斯政府支持的PUSCHA。

針對俄羅斯入侵烏克蘭事件，Google TAG小組分析了俄羅斯與白俄羅斯政府支持攻擊者的網路威脅行動。(圖片來源／Google)

關於俄羅斯政府支持的攻擊者發動的網路釣魚行動狀態，Google在2021年的4月、9到11月，以及2022年1月，都觀察特定俄羅斯組織對烏克蘭發動廣泛的攻擊，到了2022年2月，俄羅斯入侵烏克蘭戰事爆發，更是有多個俄羅斯組織從2到10月持續鎖定烏克蘭發動網路釣魚攻擊。(圖片來源／Google)

焦點二：影響輿論行動（information operations，IO）

從影響輿論行動面向來看，俄羅斯之前就透過網際網路、積極用此手法影響美國選舉，因此，在入侵烏克蘭的行動中，他們再次利用這類手法動搖民心，也在眾人意料之內。

TAG也確實觀察到俄羅斯大量用各種網路影響輿論行動，以影響有關這場戰爭的公眾認知與看法。

例如，俄羅斯的影響輿論行動，首要影響的對象是該國民眾，以維持國內對發動戰爭的支持，並用公開或隱蔽機制，以國家媒體或更換名稱的國家媒體的形式出現，或是假裝成真實用戶來影響大眾心理，而這類型的行動的確明顯增加。

特別的是，Shane Huntley也透露他們實際追蹤的情形。基本上，兩邊的愛國主義者都希望參與並發聲，希望能為自己的國家做些什麼，但在許多情況下，這些活動的發起，也使得整體事件回應的進行，以及對於局勢的理解，變得更加複雜。他舉例，TAG追蹤標準的國家級駭客行為，也追蹤愛國青少年可能下載駭客工具，或參與其中，也發現有許多指導業餘駭客的行為。

面對這樣的情形，Google也在設法因應，而在這一年內已祭出許多措施，以打擊這些影響行動的發起組織，包括：打擊散布操弄資訊、以網路研究機構為名的Prigozhin組織，以及一家看似俄羅斯的顧問公司，實際卻代表俄羅斯政府進行公關活動的公司，而在2022年，Google也暫停俄羅斯政府資助的媒體在其平臺的獲利。具體而言，這些反制行動的進行，大大減少了俄羅斯政府在Google平臺的影響力。

Shane Huntley強調，他們持續密切觀察輿論影響的活動，並將這些活動進行分析與關聯，目的就是確保自家平臺上的辯論與討論是合法進行的，而非由政府支持的威脅行動者主導，因為Google相信自由表達，但這些不應該是偽裝成他人來煽動。
至於目前狀況如何？Google看到這些輿論影響的內容，有超過9成是以俄語撰寫，顯然在戰事持續下，俄羅斯聚焦在獲得國內民眾的支持，但要注意的是，全球亦有不少俄語使用者同樣會受到這些宣傳的影響。

針對俄羅斯入侵烏克蘭事件，Google TAG小組分析了俄羅斯影響輿論行動有多個發動者。(圖片來源／Google)

焦點三：網路犯罪

在網路犯罪的面向上，Shane Huntley表示，當我們一提到勒索軟體，可能會馬上聯想到俄羅斯，不過，實際上還有一定數量的烏克蘭人參與其中。

他以惡名昭彰的駭客集團「Conti」為例，之前該集團有這兩國的人參與網路犯罪。不過，當其中一國入侵另一國時，這個組織解散了。儘管對於全球而言，很高興看到如此分崩離析的情況，但後續也出現一些組織，以更具愛國主義的方式團結在一起。

例如，這些前網路犯罪組織成員，積極利用垃圾郵件、假冒更新名義的釣魚郵件，來針對烏克蘭的公營與民營組織。因此，烏克蘭仍然是他們的主要攻擊焦點，而且其行動不斷演進，不僅是攻擊目標變得更加複雜，同時這群人也在學習技能，持續進行間諜活動，以支援他們的軍事行動。

這也突顯出，原本以利益導向的犯罪組織，也參與到其中。整體而言，我們必須要意識到：網路攻擊將在未來國際武力衝突之下，繼續發揮影響整體戰局發展的重要作用。

中國政府支持的攻擊者也對烏克蘭發動攻擊，並迎合俄羅斯內外宣發動輿論影響行動

對臺灣而言，我們要知道俄羅斯攻擊不只涵蓋歐美各國，也影響中國的網路攻擊，以及影響輿論的行動。

Shane Huntley表示，在戰爭開始時，Google實際看到來自中國政府支持的攻擊者，對烏克蘭組織進行攻擊，而且，他們也加入輿論影響行動，散布符合俄羅斯論調的資訊，傳遞支持俄羅斯、反對烏克蘭，並且加入更多批評美國與西方的內容。

因此，我們必須意識到，這是複雜的環境，面對一場國際衝突，不僅要當心眼前的對手，還可能要同時應對來自世界另一端、採取完全不同網路攻擊方式的威脅。

整體而言，大家過去可能已經看過一些相關的分析報告，說明這場戰事對網路威脅的影響與變化，而Google本身也在今年2月發布兩份報告：Fog of War，以及更新報告），Shane Huntley也對此提出簡要說明，讓我們更清楚這場戰事背後的網路世界究竟發生那些事。

有了這樣的認識，我們能夠更周延地考量，認知衝突時期如何面對未來的威脅，以及因應未來我們需要做哪些準備。

同時，他強調，在這場持續性戰事中，支援俄羅斯軍事行動的網路攻擊，有很大部分的攻擊，並非找出並利用零時差漏洞，而是透過大家長期應對的資安威脅進行，不論是網路釣魚、惡意軟體與攻擊手法。

因此，近年IT安全方面的強化，明顯聚焦在雙因素身分驗證和零信任原則，而這些資安防護的陸續推動，都應該成為基本原則。

事實上，過去我們也看到Google在這方面有諸多行動，例如，Google在2014年就開始支援FIDO U2F身分認證，對零信任架構發展，提出實踐方法，過去一年Google也分階段對用戶啟用兩步驟身分驗證，與微軟、蘋果合推基於FIDO的Passkey，持續強化帳號登入安全。因此，Shane Huntley提及的這些工作，其實也是Google持續在做的事。

此外，Shane Huntley指出，我們需要注意的是，具有破壞力的惡意軟體，是現代戰爭的一部分，這是攻擊者可能會利用的選項。整體而言，不論是間諜軟體情報蒐集，或是破壞性攻擊，或是輿論影響力的攻擊策略，其目的都是為了在戰場獲得優勢。
這其實意味著，攻擊者會在不同的面向去調配資源，因此，對於防禦者而言，必須採取更廣泛、有效率的方法。

而在演講最後的結論中，Shane Huntley提醒大家，要像攻擊者一樣廣泛思考，考慮所有的方式、地點，以及可能的攻擊目標，從而制定有效的防禦策略，也需體認彼此的共通點，那就是：不論是身為攻擊者和防禦者，始終都會面臨資源有限的情況。

俄政府支持的駭客組織所攻擊的目標，比大家想像的更多且更廣泛

在演講結束之後，我們也訪問遠道而來的Shane Huntley，想請他多談談對於當前資安威脅態勢的看法。他再次強調，這些國家支持的攻擊者持續存在，戰爭衝突期間也不例外，TAG團隊看到網路威脅不斷升級，2021年就對組織與個人發起數量更多的網路釣魚活動。

而在衝突開始後，TAG也看到網路攻擊活動的新變化，包括出現大量的輿論影響行動，以及破壞性的資料刪除攻擊活動，各種方式都成為俄羅斯的手段，而且，不只是針對烏克蘭，也針對北約陣營而來。

由於Google觀察到俄羅斯在戰事開始前，2021年就有多起網路攻擊行為，因此，我們也詢問TAG小組這方面的觀察。

Shane Huntley指出，這可能就是一種預先部署，試想，如果想發動破壞攻擊，不會在達到效果那天才開始研究目標，因此，通常會事先做好啟動準備。而從防禦戰略來看，意圖對於軍事行動來說非常重要，而具有軍事相關背景的人都知道，了解敵人是任何軍事行動的重要關鍵。

因此，相對地，這時我們就能想像到，如果對方傾向與我們維持友好的互動關係，就不會持續發動網路攻擊，並且加大攻擊力道。

另外，Shane Huntley這次揭露俄羅斯在網路攻擊的作為，不只是要讓全球政府注意，需應對其他政府支持的網攻，事實上，Google看到更多民眾與企業組織都已成為攻擊目標，包括許多人的Google帳號受到攻擊，擁有知識財產權的組織遭攻擊，以及許多關鍵基礎設施也遭到攻擊。

因此，受到政府支持攻擊的目標，要比普遍人們所想的要多，而且，這已經是常態，並且會在衝突時期變得更猛烈，不論是發動網路釣魚攻擊、發送惡意軟體，透過社交工程伎倆欺騙使用者，以及針對未修補的漏洞入侵。

談完烏克蘭所面臨的網路攻擊以及輿論影響威脅，對於臺灣而言，如何強化自身的資安防禦？Shane Huntley建議，我們可以聚焦於零信任、安全設計、多因素身分驗證，減少攻擊面等基礎，並在這個基礎之上，建立安全的網路與系統，開始考慮更進階的防護措施。

更重要的是，臺灣要意識到可能成為攻擊目標，而有足夠的防禦準備。從他的這番話中，我們也聯想到，這與每個國家成立軍隊、具有保家衛國的目標是一樣的。

同時，這不僅是政府的責任，也要讓每個人意識到自己有這樣的責任。

對於Google而言，他們也在持續保障自身用戶安全，現階段Google的重要任務，是讓用戶不容易犯錯，使用系統時，預設就是要安全。

以Google要求員工使用實體安全金鑰（Security Key）為例，這不僅是讓員工登入不再面對密碼是否安全等問題，更重要的是，讓網路釣魚攻擊變得幾乎不可能；而像是Chrome瀏覽器的自動安全更新，也讓用戶處理更新修補變得簡單。

不僅如此，我們知道Google近年致力於開源軟體安全，對於這方面，臺灣是否也能做些什麼？他認為，這就像一場團隊運動，臺灣可以從不同方面提供安全，例如臺灣在科技產品製造，具有很強大的專業知識，我們可以思考如何讓臺灣生產的產品或軟體，更加注重安全，以及在全球範圍做出各種貢獻，確保安全成為最重要的優先事項，這將會帶來巨大的回報。

Google威脅分析小組資深總監Shane Huntley在CYBERSEC臺灣資安大會第一天現場，說明這場衝突下有三大網路威脅面向值得重視。（攝影／iThome）