中國駭客對東南亞各國發動網攻,竊密工具竟來自美國國安局!

2019.05.07 by
蔣曜宇
National Security Agency via Wikipedia
2016年一個被稱作「Buckeye」的中國駭客組織竊取美國國家安全局研發的竊密工具,進而對多國進行攻擊。資安社群爭論:沒能保護好新技術,政府還應該繼續進行研發嗎?

根據國際資安大廠賽門鐵克最新報告指出,2016年時,美國國家安全局(NSA)研發的網路竊密工具遭到與中國情報單位有關的間諜團體「Buckeye」盜用,並在2016到2017年之間攻擊多間位在西歐與東南亞的私人機構。這項重大的維安漏洞,再次引發美國對資安議題的熱烈討論。

這些被盜用的工具中,有一部分在2017年4月被一身分不明的駭客團體「Shadow Brokers」公開在網路上,進而被俄羅斯與北韓駭客拿來使用。雖然沒有直接證據顯示Buckeye與Shaow Brokers有任何關係,但顯然他們拿到美國國家安全局竊密工具的時間點,比起Shadow Brokers早了好幾個月。

截取美國國安局駭客程式,改寫後攻擊西歐、東南亞等國

賽門鐵克並未在報告中提及中國,但美國司法部以及其他資安公司都已證實Buckeye是與中國國家安全部相關的駭客團體,以廣州為主要據點。

賽門鐵克作為一國際性資安公司,在公布涉及國家情報單位的報告時常會以代號稱呼來避免爭端。舉例來說,在報告中,美國國家安全局的代號就是"Equation group"。

Buckeye是美國國安局所追蹤的中國駭客團體中,數一數二危險的組織。他們最早從2009年就開始活躍,主要攻擊目標鎖定為美國境內的大型國安設施,其中包含了航太、衛星與核能推進設備等尖端科技設備。

Buckeye是數一數二危險的駭客組織,主要攻擊目標鎖定美國境內的大型國安設施,包含航太、衛星與核能推進設備等尖端科技設備。
shutterstock

根據賽門鐵克的報告,在Buckeye取得竊密工具後,他們先後在西歐及東南亞多國進行攻擊,對象包含比利時、盧森堡、菲律賓、越南與香港。攻擊的對象有科研中心以及教育機構等,在其中一次針對通訊設施的網路侵略中,中國情報單位據信獲取上萬筆個人資料。

雖然賽門鐵克並不確定Buckeye得到這些竊密工具的具體方式,但他們推估極可能是在美國國安局對中國進行網路攻擊時,潛入網路進而截取程式碼。紐約時報形容:「這就像是一個神槍手把敵人的步槍搶過來開火一樣。」賽門鐵克的資安技術部門技術長Eric Chien則表示,這樣的竊取方式過去從未有先例。

在研發與保護技術之間,應取得平衡

這並非美國政府第一次發生自己研發的網路工具遭到外洩的事件。過去他們用來攻擊伊朗核燃料離心機的惡意程式,就曾被複製並套用在世界各國,就連美國自己的公司如Chevron都曾被相同的程式攻擊過。而CIA秘密研發出的一套網路武器,也曾透過內部人士被張貼在維基解密上。

在不確定性高且難以規範的駭客網路裡,網路攻擊的複雜性越來越高,就連政府都難以追蹤那些用來潛入他國網路來刺探情報的工具。在對他國進行網路攻擊的同時,是否在某種程度上也等同於在提供對方軍火支援呢?答案似乎是肯定的。「 我們沒辦法保證,自己開發出來的工具會不會被竊取後轉而攻擊我們自己, 」Chien說。

2017年,Buckeye中的三個成員遭美國司法院起訴,之後整個組織就逐漸銷聲匿跡。然而,他們所截取並編寫的美國國安局工具,直到2018年底都還在歐亞各國的攻擊事件中出現。會不會是Buckeye將工具轉交給其他的駭客組織呢?仍舊是個謎。但這次Buckeye事件也再一次把資安問題帶上了檯面,重新考量研發新技術與保護新技術之間,政府應如何去分配資源。

資料來源:The New York TimesSymantecCyberscoop

延伸閱讀

每日精選科技圈重要消息