2023年11月至2024年4月期間,也就是台灣總統大選前兩個月到新政府上台前夕,台灣持續遭受駭客組織「紅色茱麗葉」(RedJuliett)的大規模網路攻擊。
據資安公司Recorded Future旗下的情報研究部門Insikt Group指出,一個疑似中國政府支持的駭客組織「紅色茱麗葉」(RedJuliett),試圖駭入70多間台灣機構,尤其針對政府、教育、科技與外交機構進行網路偵察,其目的很可能是蒐集台灣的經濟與外交關係,以及關鍵技術開發的重要情報。
拆解「紅色茱麗葉」攻擊模式
依照IP位址,Insikt Group推估「紅色茱麗葉」的總部位在中國福建省福州市,選址理由可能是福州與台灣的地理位置接近。
Insikt Group指出,「紅色茱麗葉」主要利用網路邊緣設備(例如防火牆、虛擬私人網路VPN和負載平衡器)的已知漏洞進行初步存取。
常見的安全漏洞攻擊步驟如下:駭客首先會蒐集情報,了解目標組織使用的網路邊緣設備,並使用開源情報(OSINT)工具來查找公開可見的設備和服務。
接著,駭客利用自動化掃描工具識別目標設備上的已知漏洞,針對已經公開的漏洞(例如CVE漏洞數據庫中的漏洞)進行掃描。一旦發現漏洞,駭客會利用這些漏洞來獲取初步的存取權限,比如通過SQL注入攻擊、目錄遍歷攻擊或緩衝區溢出攻擊。
獲得初步存取權限後,駭客通常會安裝木馬程式來維持對裝置的操縱權,並且使用工具(例如SoftEther VP)建立隧道,繞過安全檢測然後躲在受害者的網域。
隨後,駭客會更進一步探索目標內部網路,尋找更多的高價值目標,利用已經獲得的存取權限和憑證進行橫向移動,感染更多的設備與系統。
如Insikt Group的報告內容所提到,駭客的終極任務是收集目標系統中的機敏數據,例如經濟、外交與技術情報,並利用加密隧道將數據外傳至其控制的伺服器。
為了隱藏行蹤不被發現,駭客會清除痕跡,同時保持存取權限,以便在未來繼續利用受害目標。
70多間機構遭鎖定,可能還有下波攻擊
目前還不清楚「紅色茱麗葉」是否成功駭入任何一間機構並且造成損害,但Insikt Group發現,駭客組織已經針對70多家台灣的學術、政府、科技機構以及駐台辦事處(相當於大使館的存在)進行網路偵查或嘗試入侵。
除了台灣,Insikt Group也陸續觀察到香港、馬來西亞、寮國、菲律賓、南韓、肯亞、盧安達、吉布地和美國等地的機構遭受攻擊。
報告顯示,有24個疑似受害機構與紅色茱麗葉的伺服器通過SoftEther VPN橋接。
資安威脅來了!5大防駭工事不能少
任何一家機構單位都可能成為「紅色茱麗葉」的攻擊目標,建議留意以下5個面向:
1. 網路分段:為了提升安全性,建議透過在非軍事區(DMZ)中隔離面向網際網路的服務來實現網路分段,有助於限制駭客在攻擊成功後的橫向移動能力,從而降低內部敏感資料和系統免受未授權存取的風險。
2. 安全監控:確保所有面向外部的系統設備具備良好的安全監控和偵測能力,特別是要能夠即時監控異常行為,例如發現攻擊者使用Web shell、後門或反向shell,以及內部網路內的橫向移動。
3. 審查公共指導:定期審查關於中國政府資助駭客組織使用的常見攻擊戰術、技術和程序,即「威脅情報」,幫助組織制定適當的防護策略,保護自身免受這些攻擊。
4. 基於風險的修補:優先考慮高風險漏洞,還有已被攻擊利用的漏洞,也請特別留意VPN、郵件伺服器、防火牆和負載平衡設備中的遠端程式碼執行(RCE)漏洞。
5. 監控供應鏈:重視關鍵供應商與合作夥伴的資安防護,有助於防止外部攻擊者通過供應鏈入侵網絡系統。
「台灣不僅面對來自中華人民共和國(PRC)持續的主權威脅,同時也是全球重要的科技與製造中心。」Insikt Group發出預警,「紅色茱麗葉」很大機率會繼續進行高強度的網路間諜行動,舉凡科技、政府、教育與智庫機構應加強關注。
