圖片來源: 

iThome

日前EMC旗下資安公司RSA在今年3月17日發生資安產品SecurID的技術資料遭駭客入侵竊取的事件,該公司總裁Art Coviello也在官網上發表一封「致RSA客戶的公開信」表示,遭到駭客利用類似先前入侵Google的APT(Advanced Persistent Threat,先進持續性威脅)攻擊手法,入侵該公司資料庫並竊取SecurID重要的技術文件。

目前全球有超過1,400萬名用戶使用RSA的SecurID權杖作為身分認證的工具之一,RSA發生遭到駭客入侵的事件發生後,也引發使用RSA權杖企業的不安,相當擔心SecurID權杖的技術資料遭到外洩後,是否意味著該公司既有的身分認證機制已經或即將崩潰呢?

RSA遭駭引發資安信心崩盤危機

Art Coviello雖然在公開信中對外表示,根據該公司所清查的外洩資料顯示,目前使用SecurID的硬體Token產品的企業用戶不用擔心遭到任何攻擊,而RSA也會根據這些日子針對該次APT攻擊所進行的各種資安補強行為,立即提供企業客戶後續的因應補強之道。Art Coviello也強調,除了技術文件外,該公司客戶和員工的個人資料並沒有遭到外洩之虞。

EMC RSA身為全球RSA加密演算法的創始公司,長期以來,深受全球各大企業的信賴,甚至,許多強調高機密等級的身分驗證時,都會選擇採用RSA的SecurID作為身分認證時的一個重要環節。

但是,當RSA發生遭到駭客利用APT的手法入侵該企業的資料庫,甚至竊取重要資安產品SeccurID的技術文件時,全球上千萬的SecurID的使用者都感到極大的恐慌,那就是,如果RSA作為全球第一等級的資安公司,在其資安防護上,也是層層把關,務求防護滴水不漏。那讓人不禁要問,為什麼RSA還會遭到駭客攻陷?更慘的是,連重要的資安技術文件,都淪為駭客手中對外叫囂宣示的戰利品呢?

再加上,Art Coviello第一時間雖然已經在官網上坦言受害,並且以調查不公開為由,拒絕公開更多遭竊細節。在當時,雖然有許多重要的大型企業,在第一時間就已經收到RSA相關人員,對於使用SecurID產品後續安全性功能補強的通知,據了解,仍有部分中型企業並未在第一時間收到通知。

RSA的作法,在當時也讓一些中型企業開始提心吊膽,不知道該企業是否也會跟RSA一樣,成為下一波駭客攻擊的對象之一?是否也會因為駭客手中已經握有企業採用SecurID權杖的技術文件,對入侵這些使用SecurID的企業將如入無人之境、暢行無阻呢?這一切的答案在當時,都因為RSA認為調查不公開,讓許多企業用戶擔心受怕。

相較於EMC RSA公司的信誓旦旦,事發當時,許多國外媒體、分析師甚至是資安研究員對於RSA並未揭露足夠資訊感到憤怒與不安,像是發明Blowfish加密演算法的資安專家Bruce Schneier便在他的部落格中撰文表示,資安是一種信任的行業,沒有信任也就沒有安全了。他認為,在RSA沒有公開真正被偷的資料內容為何,以及了解SecurID的加密演算機制時,根本無從評估這起事件的受害範圍與程度,而RSA的作法也失掉原有客戶的信任。

當然,除了Bruce Schneier的大聲疾呼、要求RSA必須公開更多受駭細節資料的同時,RSA也在第一時間建議企業應該立即做的9件事情,藉此降低企業的安全風險。但是,這起SecurID技術文件外洩事件,也讓RSA面對有史以來最大的客戶信心崩盤危機。

APT這種先進持續威脅的攻擊手法重點在於「低調且緩慢」,駭客如何在不引起人注意的前提下,利用各種複雜的工具與手法,包括應用各種手機竊聽、衛星監控、社交工程和在系統內植入木馬程式等方式,在不被發現的前提下,能夠長期並持續關注、收集特定個人或組織的各種相關事物和資訊。

這些發動APT攻擊的駭客目的往往不是為了在短時間內獲利,而是藉由持續的監控,直到能徹底掌握所針對的目標人、事、物。以往這類攻擊手法都針對政府和某些政治狂熱份子為主,後來陸續傳出針對企業的攻擊案例。發動這種APT攻擊手法的駭客,都以能夠長期滲透IT系統與組織為目標,往往具有很好的攻擊與入侵技巧、有特定動機,甚至具有豐沛的資金。

臺灣趨勢科技研發工程師翁世豪則表示,這種APT的攻擊手法,因為是隱匿自己,針對特定對象,長期、有計畫性和組織性的竊取資料,這種發生在網際空間的偷竊資料、蒐集情資的行為,就是一種「網路間諜」的行為。

由許多大型金融業和資安公司組成的營運創新資安委員會(Security for Business Innovation Council)日前針對APT發表一份對抗APT資安系統的建置策略白皮書中,也歸納出5種APT典型的攻擊方式,包括:具有高度針對性、資金來源充裕、具有高竿的資料情報分析人員、具有讓自己潛伏並保持低調的技術能力,以及擁有多重面向和多樣工具的攻擊方式。

鬼網(Ghost Net)資安事件調查作者Nart Villeneuve日前來臺參加臺灣駭客年會時曾表示,早期美國軍方在談論的APT威脅指的是中國網軍,但隨著後來有許多企業和非政府組織也陸續遭到這樣針對性的APT威脅,經常因為查不出來確切的攻擊者,加上攻擊手法精細且複雜,都讓APT成為政府和企業難以阻擋防禦更是難以察覺的資安威脅。

RSA遭受駭客以APT手法攻擊的來龍去脈

時隔不久,在今年愚人節時,EMC RSA新技術部門、客戶身分保護部門主管Uni Rivner,也針對RSA遭到駭客以APT手法入侵事件的來龍去脈,在RSA官方部落格中撰寫調查報告。

根據Uni Rivner的調查,這起造成RSA史上最重大損害的源頭,是2封鎖定RSA公司內兩小群員工的網路釣魚信件。

他說,如同其他對資安防護要求極高的公司一樣,RSA同樣採用各種最先進、防護等級最高的資安防禦設備,希望能夠抵抗各種威脅。但這樣的防護依舊抵擋不住駭客的入侵。

Uni Rivner表示,從這次的調查經過發現,當駭客們鎖定要入侵特定公司例如RSA時,第一件做的事情便是,透過查詢各種公開的資訊,包含各式各樣的社交網站資訊,藉此鎖定RSA特定的員工,並針對這些特定員工寄送經過設計的「魚叉式網路釣魚信件(Spear Phishing email)」。

這些針對特定員工寄送網路釣魚信件,其內容則是完全針對這些特定員工的工作內容所設計,如果你是在財務部門工作,就會寄送和財務相關的法規遵循內容或者是相關資安控制措施的信件等。這些手法都確保收件人一定會點擊信件。

因此,駭客當時就針對RSA的兩小群員工,在2天內開始寄送2封針對性的網路釣魚信件,並在標題寫著「2011年招募計畫」,也夾帶一個Excel附加檔案。

據調查,這個Excel檔案其實已經包含了一個當時還沒有發現、也還沒有被修補的PDF漏洞,只要駭客針對的這兩小群RSA員工,只要有任何一個人因為任何原因,開啟了這個Excel檔案,就會在開啟該Excel檔案員工的個人電腦上,安裝一個後門程式。

當RSA某位員工的電腦淪陷、被駭客控制並安裝後門程式後,駭客便開始APT攻擊手法的共通階段,那就是要安裝可以遠端控制該臺電腦的遙控工具。Uni Rivner說,在RSA的案例中,駭客使用的變種惡意程式Poison Ivy RAT,也和鬼網(GhostNet)以及其他多起國家、企業遭駭客利用APT攻擊手法攻陷鎖定對象時,所使用的惡意程式是一樣的。由於該變種惡意程式採用反向連結的方式,防毒軟體對這種惡意程式的偵測率更低。

當然,駭客控制了員工電腦,但是不同員工對資料存取權限,不見得剛好滿足駭客的需要。因此,駭客也會開始評估該受駭電腦員工存取權限為何,先行取得帳號、密碼後,伺機設法取得具有更高管理權限員工的帳號、密碼,包括IT與非IT伺服器的管理者權限,進而偷取駭客所需的各種機敏資料。

駭客在這樣的過程中,當然會設法隱匿自己的形跡,避免被察覺到。因此,駭客便可以一直偷取所需要的機敏資料,並持續透過FTP的方式去傳送加密的檔案,整個潛伏的過程會持續到被發現,或者是駭客覺得時機成熟、可以撤離後,才會進行撤離。

Uni Rivner表示,從RSA這次的受駭經驗中發現,因為社交網路的蓬勃發展,企業以往只專注在防禦各種由內到外的各種威脅,相對的,企業的資安防護也是從這樣的角度出發。不過,當員工成為企業資安最脆弱的環節,企業也開始要警覺到,企業資安的防護必須將員工某些社交網路行為納入。

企業成駭客採APT攻擊手法的對象

從RSA受駭的事件可以發現,駭客一剛開始針對某些特定員工發送的釣魚郵件,就是該起RSA遭到駭客使用APT手法進行攻擊的所有源頭。在今年稍早,美國有另外一家資安顧問公司HBGary也面臨類似的攻擊方式,那就是駭客假冒CEO發信給IT部門同仁,由於天時地利人和的條件配合下,IT人員對於駭客冒名發送的這封信件完全不疑有他,IT人員直接寄送該公司IT系統Administrator的帳號、密碼給被駭客冒名的CEO。因此,HBGary內部的IT系統防護也一夕潰堤。

RSA遭受到駭客這種的長期性、針對性、計畫性以及組織性的攻擊行動時,就是所謂的APT。以往駭客受雇使用這樣的APT手法,主要是針對國家層級的對象。但從過去一年半以來,從數起類似的資安事件中,卻可以發現,包含Yahoo!、Google、RSA、Comodo等大型企業或資安公司,以往我們認為不是駭客採用APT手法攻擊的對象,也都陸續成為受駭對象,這也證明,企業已經是繼政府之外,駭客採用APT攻擊手法主要的受駭對象了。

臺灣企業也難倖免於難

雖然從各種攻擊趨勢中,證明企業已經是APT手法的受駭者。那臺灣企業是否能躲過這一劫呢?

從資安公司McAfee今年8月初所公布的一份資安調查報告《Operation:Shady RAT》(灰鼠行動)數據顯示,美國是該起調查案件中最大的受駭國,總計有49個單位受駭,其次為加拿大(4個),南韓和臺灣並列第三名,都各有3個單位受到這一波的駭客攻擊。

若進一步分析臺灣的受駭情形,其中有1個是政府單位,其餘2個則是企業(電子製造業為主),而有一家高科技電子製造業更早在2007年9月,便遭到駭客鎖定、植入惡意程式,潛伏在該企業環境中更長達8個月的時間;政府部門也從2008年4月被駭客鎖定,同樣被植入惡意程式,潛伏時間也長達8個月之久。

翁世豪指出,早在2003年9月,就已經發生有駭客針對88個政府機關,採用APT手法發動攻擊。當時根據警方和資通安全會報技術服務中心的聯手調查發現,這些受駭的政府機關除了遭到入侵、被植入相同的惡意程式之外,政府資料也持續的外洩中。到了2004年5月,駭客同樣針對臺灣政府機關採用APT攻擊手法,只不過,這種透過電子郵件夾帶惡意程式的方式,讓沒有警覺到這樣手法的臺灣政府機關受駭。

由於臺灣政治情勢比較複雜,以往,臺灣企業都認為,駭客以APT手法攻擊時,主要發動攻擊的對象都是政府部門,民間企業因為沒有任何實質的證據顯示的確是駭客APT鎖定的對象,警覺性相對不高。

但是,從這個灰鼠行動的調查報告中卻已經可以證明,臺灣老早就已經是駭客使用APT手法鎖定攻擊的對象,自此,臺灣企業已經不能無視APT對企業可能帶來的威脅性,更不能以為把頭埋在沙堆裡,漠視APT存在就可以確保企業的安全了。

除了這次的調查報告,許多的臺灣企業因為具有良好的聲譽,也具有許多高價值的智慧財產權,這些臺灣企業原本就具有的優勢,如果因為資安防護上的疏忽,一個不小心,也可能成為駭客鎖定其他國家、企業採用APT攻擊手法時的「最佳幫凶」。

最明顯的例子就是,2009年6月伊朗爆發首座核電廠遭到Stuxnet蠕蟲的攻擊。Stuxnet是一個針對西門子自動化生產與控制系統(SCADA)的惡意程式,不僅可以竊取機密資料,還可以控制企業內的系統。

以核電廠這種這麼嚴密的關鍵基礎建設而言,資安防護一定也是相當嚴密,Xecure-Lab首席資安研究員邱銘彰表示,當時Stuxnet之所以可以躲過核電廠資安認證系統的身分認證,就是因為駭客當時竊取了臺灣瑞昱半導體和智微科技這兩家具有良好企業聲譽高科技公司的數位簽章,才躲過核電廠系統的安全認證。

不論是Google、Yahoo!遭到駭客利用APT攻擊手法,導致企業資料外洩或系統受駭,或者是臺灣企業的數位簽章遭竊,變成駭客發動APT攻擊的幫凶,或許都只是凸顯企業遭到駭客鎖定攻擊的機會比以往增加而已。

但是,從去年底、今年初開始,McAfee針對駭客瞄準5大跨國能源產業業者的夜龍行動調查報告開始,一直到3月發生美國數位憑證公司Comodo傳出包括mail.google.com、www.google.com、login.yahoo.com、login.skype.com、addons.mozilla.org、login.live.com以及global trustee等7個網域共9個SSL數位憑證遭到偽冒事件,EMC RSA在今年3月同樣遭駭客以APT手法鎖定攻擊;4月則發生Sony的PSN網路遭入侵,導致上億筆個資外洩;5月則傳出使用美國RSA SecurID權杖的軍火商洛克希德馬丁公司遭駭事件,6月傳出國際貨幣基金(IMF)也同樣遭到駭客以APT方式鎖定攻擊。從今年這麼頻繁的案例,其實都已經可以證明,駭客針對企業採用APT攻擊手法已經是事實,更是常態,企業已經到了不能輕忽APT已經對企業帶來威脅的時候了。

Uni Rivner日前在他的官方部落格中有提到一段話,他說:「員工已經是企業資安最脆弱的環節……企業現有的資安防禦機制已經不足,必須再思考新的防禦方式。」這其實也提醒企業,以往企業面對資安往往是從「風險」的角度,以及「從內而外的威脅」來思考防禦機制的部署方式,但是,當駭客已經採用APT的攻擊手法鎖定特定的企業,原本的防禦機制是否可行,值得令人深思。

 

駭客從2010年鎖定企業進行APT攻擊

這種駭客針對特定政府或企業,長期間進行有計畫性、組織性資料竊取的網路間諜行為,早從1998年起,就有蘇聯駭客針對美國官方等單位發動攻擊。臺灣因為政治情勢特殊,早期的資安攻擊事件都視為單一的資安事件,直到2003年9月,經調查發現,當時已經有駭客鎖定88個政府機關進行資料竊取的行動。此後,也確認臺灣政府已經是駭客長期鎖定竊取情資的對象。以往駭客發動的APT攻擊雖然以政府為主,但從2010年開始,企業成為駭客鎖定竊取情資的受駭者越來越多,2011年甚至是駭客鎖定企業APT的一年。

(看大圖)

 

趨勢科技研發工程師翁世豪表示,APT這種網路間諜攻擊就是針對特定對象的資料竊取行為。

 

駭客鎖定APT的攻擊特色

● 具有高度針對性

● 資金來源充裕

● 具有高竿的資料情報分析人員

● 具有讓自己潛伏並保持低調的技術能力

● 擁有多重面向和多樣工具的攻擊方式

資料來源:營運創新資安委員會(Security for Business Innovation Council),2011年8月

 

《灰鼠行動》資安報告中受波及的6種產業

● 政府部門 22個

● 大型企業 6個

● 高科技產業 13個

● 國防工業 13個

● 金融相關產業 6個

● 其他智庫、非政府組織 12個

備註:5年內受駭單位共72個

資料來源:McAfee《Operation Shady RAT》調查報告,2011年8月

 


相關報導請參考「網路間諜瞄準企業」


Advertisement

更多 iThome相關內容