提到間諜活動,人們通常會聯想到各種高端奇特設備,例如可以變成激光的雨傘和X 光眼鏡、霧濛濛的清晨秘密會面,或者在異國他鄉的高速遊艇上追逐和精心偽裝。如今,間諜活動的現實可能沒那麼誘人,但效果卻好得多。
政府資助的駭客和我們一樣,有朝九晚五的工作。他們有辦公室,有假期,在咖啡室閒聊。但他們在電腦後面開展活動,滲透世界各地的系統,竊取政府、公司、關鍵基礎設施甚至可能存取這些資料的個人的敏感資料。
「我們知道,中國擁有數萬人的網路大軍,他們每天都在以非常有組織的方式攻擊世界,有管理人員、團隊和日常會議,」荷蘭網路安全專家威廉·澤曼說。 “一切都很專業。”
2024 年初,在進行事件回應調查時,荷蘭軍方和情報總局注意到國家伺服器上有異常。他們發現的是為FortiGate 設備開發的遠端存取木馬(RAT) 惡意軟體。
有趣的是,這種「低調」的惡意軟體的目的不是獲取系統存取權限,而是透過在裝置重新啟動和更新後仍保持活躍和持久來維持存取權限。
他們最終發現,2023 年期間,中國的網路間諜活動曾在國家體系內活躍了數月。隨後,荷蘭政府於2024 年2 月發布了相關報告,這是荷蘭政府首次公開將國家支持的駭客行為歸咎於北京。
經過進一步調查,6 月的一份新報告顯示,代號為CO新高ANGER 的這項活動比最初想像的要廣泛得多。在2022 年至2023 年的幾個月內,它在全球範圍內獲得了超過20,000 個單位的訪問權限。
在此“零日漏洞期間”,有14,000 台設備遭到入侵。目標包括數十個西方政府、外交機構和國防工業公司。
當世界各國政府都在努力發現和堵住入侵行為時,每個人心中都有一個疑問:駭客在公開窺探機密資訊時,到底有多少資料、哪些類型的資料遭到外洩?
儘管可能造成廣泛影響,但有關此攻擊的新聞報導卻很少。儘管媒體廣泛報導勒索軟體攻擊,但由於多種原因,網路間諜活動根本不被視為熱門話題。 Zeeman 擔心的是,這種缺乏認識和監督可能會在全球造成破壞性後果。
儘管勒索軟體成為頭條新聞,但網路間諜活動仍然暗中存在
遭受勒索軟體攻擊的公司不僅會直接受到利潤影響(因支付賠款),而且其聲譽也會受到影響,因為客戶和使用者會失去對該組織的信任。
澤曼認為,從某種程度上來說,勒索軟體有助於將網路安全推到公司優先考慮的事項之列。 “你會發現,人們開始投資網路安全是因為他們害怕勒索軟體。但還有另一種更先進的趨勢。”
如今,任何人都可以成為駭客,只需從網路上下載一些標準工具,許多人都會使用快速而骯髒的初級策略。另一方面,國家行為者擁有更高的專業水平,有時擁有無限的資源來支持他們的活動。他們創建自己的程序,甚至進行反取證,所有這些都是為了避免被發現。
與旨在造成最大破壞的勒索軟體攻擊者形成鮮明對比的是,國家行為者竭盡全力維持營運。 「有許多情況下,攻擊者採取措施確保系統保持平穩運行,」Zeeman 指出。 “他們進行了必要的修改以防止被發現或系統故障,而不是讓錯誤或漏洞觸發可能暴露其存在的回應。”
這意味著他們一旦進入系統,就會長期處於這種狀態。在Zeeman 及其團隊調查的網路間諜案件中,他們經常發現這些參與者已經潛伏在系統中數月甚至數年,這讓他們得以竊取IP 資訊、智慧財產權等機密。
荷蘭晶片產業蓬勃發展,備受關注
荷蘭情報部門稱「衣架」行動是「中國針對荷蘭及其盟友的政治間諜活動的一部分」。
近年來,荷蘭發現自己在眾多大國中顯得有些渺小。作為半導體機械製造商ASML 和晶片製造商NXP 的所在地,荷蘭成交量入了美國和中國的晶片戰爭,美國向荷蘭施加壓力,要求其阻止先進機器的銷售以及對現有機器的維修。
今年早些時候,ASML 宣布,一旦中國入侵,該公司將能夠遠端關閉其位於台灣的機器,使該公司陷入地緣政治僵局。這就像兩個巨人之間的大衛。
如果荷蘭的關鍵半導體產業得不到保護,免受網路間諜活動的侵害,那麼荷蘭不僅會失去其智慧財產權,還會失去其政治影響力。
然而,2020年初對一些可疑活動的調查顯示,中國駭客組織「Chimera」自2017年底以來就可以存取恩智浦的系統。駭客在訪問其伺服器的兩年期間,重點是獲取晶片設計圖和入侵包含大量敏感資訊的郵箱。
雖然很難知道最終獲得了多少信息,但事實是,持續的此類襲擊可能對荷蘭和歐洲造成重大打擊。
防範網路間諜活動:監管可能是關鍵
目前,網路間諜活動的主要關注點是邊緣設備(如CO新高ANGER 活動)和遠端工作工具,尤其是SSL VPN 解決方案。但由於這些活動確實擁有無限的資源,他們會不斷湧現,當其他漏洞被發現時,他們會暴露新的漏洞。
但防範網路間諜活動的成本很高。 「唯一能知道自己是否被入侵的方法就是定期檢查,」Zeeman 說。這意味著應該根據公司或組織資料的敏感程度,每隔一到五年進行入侵評估。
「如果企業的威脅情勢意味著成為這些高級攻擊的目標,政府應該在指導和推動企業進行調查方面發揮更多作用,」Zeeman 補充道,並指出由於相關成本,企業不會主動這樣做。 “隨著NIS2 的到來,企業已經必須實施一些良好的網路安全措施,董事會對此負有責任,但定期檢查並不是強制性的。”
這對於保護關鍵基礎設施(如供水系統、銀行、醫院、港口等)以及關鍵產業至關重要。隨著荷蘭投入更多資金補貼和激勵措施以留住晶片巨頭,它還應確保這些實體妥善保護智慧財產權,避免被窺探。
另一個問題是,這些案件往往被那些希望保密自己遭到駭客攻擊的公司所掩蓋。通常,Zeeman 合作過的公司都會簽署保密協議。因此,如果網路安全團隊發現網路間諜案件,他們只能在公司允許的情況下與荷蘭安全局等外部實體共享。這意味著資訊通常不會被分享——即使他們發現網路攻擊者因此滲透了更多外部系統。
當被問及是否也應該強制要求向當局分享此類資訊時,澤曼猶豫了。他認為,這可能會引起太多的反對。但為國家最重視的公司和產業建立標準化的檢查系統才是關鍵。
歐洲為何應擔憂
洩密不僅對荷蘭至關重要,對歐盟市場也至關重要,因為歐盟正試圖就汽車晶片補貼問題對中國提起訴訟。歐洲擁有五大製造商中的三家:恩智浦、英飛凌和義法半導體。如果歐盟想繼續維持傳統汽車半導體製造商的領先地位,就需要保護其晶片巨頭的智慧財產權。
除了在晶片領域的主導地位之外,荷蘭也是歐洲和世界其他地區之間重要的實體和數位十字路口。
鹿特丹港是歐洲最大的海運樞紐,對進出歐洲大陸的供應鏈至關重要。 2022 年1 月,勒索軟體即服務駭客組織Blackcat 襲擊了包括鹿特丹港在內的17 個港口和石油碼頭,發動勒索軟體攻擊,導致油輪改道,在冬季中旬擾亂了裝卸作業。
去年,塞爾維亞/俄羅斯駭客組織NoName057(16) 癱瘓了該港口以及荷蘭其他幾個港口的網站,以回應政府決定向烏克蘭運送8 輛豹1 型坦克。雖然這些攻擊不是由國營組織實施的,但兩次攻擊都代表了該港口的脆弱性可能被惡意濫用的例子。
此外,國家行為者也關注荷蘭的高品質數位網路和基礎設施。根據政府在2022 年進行的威脅評估,荷蘭伺服器已被用於多起國際網路攻擊。在這種情況下,荷蘭“充當了國家支持的攻擊的跳板,這些攻擊可能會損害第三方國家,甚至包括盟友。”
CO新高ANGER 因惡意軟體中的一段程式碼而得名,該程式碼包含羅爾德·達爾短篇小說《羔羊屠宰場》中的一句台詞,故事中一位妻子掛起丈夫的外套,然後用一條凍羊腿殺了他。她扮演悲傷的寡婦,將凶器交給警方,從而逃避偵查。
問題是,荷蘭是否會利用其正在顯現的戰略重要性作為籌碼,在國際舞台上施加壓力,還是其易受網絡間諜活動的攻擊,使其成為盟友和歐盟的“凍羊腿”?
資訊來源:由0x資訊編譯自THENEXTWEB。版權歸原作者所有,未經許可,不得轉載
