慕尼黑安全会议落幕,美国联邦调查局(FBI)局长15日在慕尼黑举办的网络安全会议上公开点名中国与俄罗斯的骇客、间谍正全力破坏法治世界的安全。与此同时,中国国家安全部16日称境外网络间谍窃取资料,影响中国军事与国家安全。分析人士表示,中国声明的网络间谍手法其实正是他在对其他国家做的事,是“贼喊抓贼”。
中国国安部16日在微信公众号以《网路间谍是如何有机可乘的?》为题发表文章,表示网络已经成为境外间谍情报机关对中国进行间谍活动的重要阵地。他们利用单位安全防范不到位、疏忽未及时更新密码、贪图便利等机会,对中国的重点单位、部门、企业的资讯系统进行攻击,并建立隐蔽的传输通道,窃取重要敏感资料,危害中国数据与网络安全。
此前一天,美国联邦调查局局长克里斯托弗·雷(Christopher Wray)在慕尼黑网络安全会议上公开批评中国的黑客攻击,表示中国政府将网络手段与传统的间谍活动、经济间谍活动、恶意影响选举以及跨国镇压结合起来,正在全力破坏法治世界的安全。
分析人士说,中国国安部的示警是“贼喊抓贼”。
台湾民进党不分区新科立委、台北大学犯罪学研究所副教授沈伯洋对美国之音说:“以我们对中国的了解来讲,他都是自己在做的事情,然后他先宣称别人对他做了。也就是说,这其实都是他在对别人做的事情,而不是别人对他做的事情。这是中国惯用的手法。 ”
中国黑客猖獗
沈伯洋并表示,虽然中国国安部确实有一些外包的黑客在进行网络间谍活动,但黑客最多、最完整的培训其实是在解放军里头,两者加总起来大约有10万人左右,这也是为什么之前微软的报告指出,中国黑客网袭的成功率是世界最高的原因。
美国联邦调查局局长克里斯托弗·雷不久前也表示,中国政府投入巨资,而且吸收网络犯罪者,使其黑客攻击能力倍增,让中国的网路入侵计划规模世界领先。
台湾国防安全研究院网络安全与决策推演研究所副研究员曾怡硕在接受美国之音采访时表示,中共强调要防范网络间谍是因为中共认为美国都在指责他,所以先用“境外网络间谍”的说词来“铺梗”,作为日后反制美国对中国指责的借口,“也就是不是只有你美国可以指责我中共做网络间谍行为,其他国家也在对我们中国大陆做网络间谍行为”。
按照中国国安部所举的案例,某军民融合企业系统因为软体没有及时更新,导致“门户大开”,被境外网路间谍植入木马病毒,窃取企业重要生产业务资料及客户资讯。另一个案例是某安全防护措施良好的大型国有企业,莫名出现在凌晨将资料加密传输到境外,并且每次发往不同IP位址。经查证,境外网络间谍以这间公司的网络出口设备、内网闲置设备为跳板,层层渗透到该公司核心内网,窃取企业重要资料。
目的手法各异
曾怡硕表示,网路间谍行动的手法与对象各有不同,如果背后有国家资助、集训或是有组织的网络佣兵,比较有名的像是中共与朝鲜,他们会骇入一些医院、旅馆,或是金融机构等有很多个人资料的地方,因为个资有可能用来作为存取的密码和辨识或认证的资料,是黑客眼中的高价值目标。此外,如果网络间谍切入到医疗资讯系统,将可以知道属于机密性的特定人士的健康状况。另外还有一些是金钱目的,比如朝鲜本身需要资金,因而发动黑客去做窃取。
路透社去年曾经报道,朝鲜2022年窃取的加密货币资产金额高达6.3亿美元,创下历年新高。《华尔街日报》说,朝鲜核武开发资金的大约一半是透过网络攻击窃取的虚拟货币筹集而来。
曾怡硕表示,但是近几年来,黑客使用勒索软体来针对关键基础设施的情况变得越来越多,一但民生用的瓦斯、煤等能源燃料被控制住,将是生死攸关的议题,尤其在战时,若敌方夺取关键基础设施的控制权,将会对民生与战备造成巨大威胁,此时网络间谍活动就有“可受胁迫”的价值,黑客也能从中获得相当的金钱利益。
他认为,中国国安部提醒民众防范境外网络间谍其实是一种投射,因为中共对其他国家会这么做,所以他也认为别人会这样对他做。
夺取控制权
不过,曾怡硕说,黑客的骇侵手法除了是骇入关键基础设施的固定的机器维运系统外,他们还会从需要更新系统时的软体供应链方面下手,就像是一种“源头打击”。也就是说,提供政府单位或企业更新硬体或软体的这些厂商反而变成了骇客先下手的目标,由此去植入后门,并从里面将资料回送,达到窃取资料的目的,同时也可以进一步取得横向与垂直的存取权限。他说,这种手法可能需要长时间的埋伏,所以常常受到国家资助与长期投资。
微软在2023年8月的报告指出,由国家支持的中国黑客已渗透到美国关键基础设施网络,目的可能是为了当美中爆发冲突时阻碍美国的行动。该报告还特别提到了美国在太平洋的重要军事基地关岛被黑客锁定为攻击目标。
然而事实上,中国的网络间谍行动远远不只在美国,而是遍布全世界。挪威情报机构在2月12日发布的年度报告指出,中国的情报活动遍布全欧洲,而网络空间是其主要的门户,并说西方正面临更危险的安全局势,因为中国、俄罗斯、伊朗支持的哈马斯等激进组织对当前世界秩序构成挑战,其目的是削弱西方影响力,建立不以民主和自由价值为主导的国际秩序。
在挪威安全报告出炉前不久,北约盟友荷兰指控中国政府支持的黑客在去年入侵了该国的军事网路。
菲律宾信息和通信技术部官员在2月初说,在中国运作的黑客1月时曾试图入侵菲国总统小马可斯及政府机关的网站与电邮系统,以及一个海洋安全促进机构的网站,所幸被菲国网络安全专家成功阻止。
曾怡硕说,佣兵性质的黑客行为并无国界之分,主要取决于他们所被授予的任务。比较麻烦的是,这些黑客多少有他们的自主性,所以他们可能会做出超出国家当初授予任务的范围,变得“不受控”。但中国的黑客一向被视为与政府指使高度相关,所以中国与朝鲜的黑客通常会被认为是受到中共政府或朝鲜政府所指使,而不是这些黑客团体的自主作为。
中国特色
曾怡硕也表示,中国网络间谍活动的特色倒不在其骇客群体,而是在中共本身,因为中国大量制造信息通讯器材,可能会有商品的存取密码,所以必须要严加防范使用中国制造的产品,以免因为人为疏失而未定期去更改密码,让黑客可以找到安全漏洞而通行无阻地窃取资料,特别是像监视器、摄影机,还有无人机等方面的产品,必须多加留意。
他并表示,中国网络间谍活动受害最深的是西方国防产业链,因为要研发出一个尖端的现代武器设备需要长年的金钱投资与高素质的人力和技术。如果用偷去窃取这些高价值情报,是最廉价的方式。曾怡硕连用三个“非常”来形容中共的网络间谍活动对西方军工产业造成的损失。
曾怡硕说:“这些网路骇客,即使他是接受政府的指使去窃取国防产业的机密,但是一样会由政府这边来转移给哪一个军工厂,这跟其他国家可能比较不一样。其他国家部门之间各自行事,所以这个对于国家利益,尤其是军工产业需要长期研发投资是一个非常非常非常巨大的损失。”
台湾民进党立委沈伯洋说,中共的网络间谍活动,不管是资料的窃取,还是取得资料后去进行威胁,又或是把资料放给专门在散播假信息的团队使其散布不实信息,都对自由世界是很大的威胁。他说:“还有更大的威胁,就是在战争的时候,他们更有能力去破坏这个基础设施。”
美国联邦调查局早些时候也发出严正警告,表示中国政府支持的黑客正在频繁地将攻击目标对准美国境内的水处理工厂、电网、交通运输系统等重要的基础设施。
沈伯洋说,网络间谍像军备竞赛一样,中共投入巨大的资源去做培训,也势必会不遗余力地去购买“零日攻击”(软、硬体开发方还没有发现的安全漏洞就直接先去做攻击)等恶意软体,尤其现在人工智能(AI)发达,AI可以去做更多更快速的网络攻击。当自由民主国家还在讨论AI的伦理限制时,独裁的中国可以避开这些事情,让其网络间谍的发展更为快速。
评论区