中國網攻擴及民生關鍵基礎設施產業

傳統由國家策動的網路間諜行動，主要窺探目標不外乎政府機關與國防軍事等機敏單位，然而資安公司Mandiant今年揭發的中國網路間諜行動卻有所轉變。事件調查結果顯示，與中國政府有關連的UNC4841駭客組織，不僅入侵多國政府機關，更染指多個民生關鍵基礎設施產業。

UNC4841駭客組織就是去年入侵Barracuda ESG郵件安全閘道器的主謀。Barracuda在今年5月對外公告其Email Security Gateway（ESG）郵件安全閘道器存在一個零時差漏洞（編號CVE-2023-2868），且自2022年10月起就被中國駭客組織UNC4841所利用，入侵其郵件安全閘道器。

根據Mandiant調查，UNC4841入侵遍及全球多個國家的Barracuda ESG郵件安全閘道器，以協助中國政府進行廣泛的網路間諜行動。UNC4841駭客組織針對鎖定的目標，寄發附帶惡意程式的電子郵件，最早可追溯到2022年10月10日。他們透過三個主要的惡意程式入侵含有零時差漏洞的Barracuda ESG郵件安全閘道器，建立後門並常駐在系統內，以達長期竊取資訊的目的。

Google Cloud Mandiant Intelligence主席Sandra Joyce表示，UNC4841此次攻擊行動比較不尋常的是，傳統網路間諜行動主要針對的目標，如政府機關、軍事國防、航太產業等，在此次網路間諜行動中僅占31%，另有22%被鎖定的目標包含電信通訊、資訊科技等負責資訊傳播管道的公司。上述這兩大類屬於第一級具高度機敏性的機構，數量加總僅占整起網路間諜行動受害者的一半，而另一半受害者則屬於第二級、一般認為較不具機敏性的產業，其中金融產業占3%（含銀行、消費金融服務），醫療產業占4%（含生技、醫療設備、公衛、照護機構），半導體產業亦占2%（含半導體、電子零組件）。

Mandiant的調查顯示，中國這起網路間諜行動鎖定的目標多達26個產業，涵蓋產業類別相當廣泛，還包括科技研發、能源、海空運輸、建築、農業、媒體、法律事務所、旅遊、零售、地產、食品製造等，其中亦包含多個東協國家的政府外交機構，以及臺灣與香港的國貿單位與學術研究機構。

這些被網路間諜行動入侵的產業，如金融、電信、醫療、高科技製造、交通運輸等，皆是重要的民生關鍵基礎設施產業。Google Cloud Mandiant Intelligence首席分析師John Hultquist指出，被鎖定的產業中有幾家海運、空運等物流運輸業者，讓人不得不聯想到2017年全球最大航運公司馬士基（Maersk）遭受NotPetya勒索軟體攻擊所造成的廣泛衝擊與影響。

2017年馬士基位於烏克蘭黑海地區奧德薩港口辦公室的電腦不慎被NotPetya感染，隨後擴散造成其集團數千臺電腦、伺服器、網路等運作陸續中斷，使得航運預訂系統、貨櫃裝載系統停擺，多處港口設施被迫關閉，數萬臺卡車的貨物無法上船，造成全球航運大亂，損失高達百億美元。當時，此一網路攻擊事件導致的航運延誤，甚至造成雞肉供應斷鏈，使得美國零售超市無雞肉可賣。

不僅海空運輸業因高度資訊化，而容易被網路攻擊破壞，其他諸多民生關鍵基礎設施產業亦是如此。John Hultquist指出，近兩年中國網攻能力大幅提升，不但積極挖掘網通、資安設備的零時差漏洞，更挾持全球各地不安全的家用、中小企業路由器，建立龐大的傀儡網路，以掩蓋其入侵行徑。同時，中國駭客又具備在入侵後採取寄生攻擊（Living off the Land）的能力，利用作業系統的合法工具程式而非可能觸發資安警報的惡意程式，以掩飾其網路滲透行蹤，製造許多讓資安專家難以追查的斷點。而今，中國網路攻擊的目標又擴大至民生關鍵基礎設施產業，John Hultquist說：「他們現在不僅能力更強大，又鎖定這些極具風險的關鍵基礎設施產業，這個處境令人非常擔憂。」

今年9月台中彰化的兩家肉品交易市場接連遭到勒索軟體攻擊，雖僅造成休市一天，未衝擊肉品正常供應，卻也突顯關鍵基礎設施的資安防護除了油水電產業，民生關鍵基礎設施產業亦不容輕忽。