2024年美台国防工业会议(US-Taiwan Defense Industry Conference)即将举行,网络安全公司发现,主办会议的美台商业协会(US-Taiwan Business Council)电邮系统遭到黑客袭击,但因防范得宜,此一网络入侵并未成功,而网络袭击幕后的攻击者身份目前还无法认定。
一年一度的美台国防工业会议今年定于9月22到24日在宾夕法尼亚州的费城举行。总部在佐治亚州亚特兰大的网络安全公司Cyble上星期五(9月13日)宣布,发现一个针对美台国防工业会议的网络袭击行动,此行动使用一个恶意文档来执行内存攻击(in-memory attack),以躲避侦测来获取敏感数据。
该公司研究与情报研究室(Cyble Research and Intelligence Labs, CRIL)说,此一网络袭击涉及一个伪装成模仿美台商业协会登记表的正常文件格式PDF压缩文档,一旦这个文档被打开后即可执行在开启电脑文件夹中留下一个PDF文档的诱饵指令,以此来建立持续性攻击。
每年会议前后都会受到网络袭击
美台商业协会副会长马珞丹(Lotta Danielson)针对此事接受美国之音(VOA)电邮采访时说,恶意档案是来自一个似为国防工业会议参与者的电邮,看似是为某知名台湾公司工作的人。
“并不是说,最近有许多这种攻击在激增。我们通常每年在会议前后会受到几次这种攻击,我想或许今年这个实际的恶意软件有意思到值得Cyble公司去研究,”她说。
马珞丹表示,对该协会的网络袭击完全没有像2017年以前一样那么频繁,不过发生的次数仍然多到让该协会对电邮与文件相当谨慎。
“我好奇的是,就国防业界整体而言--在台湾或在美国--,过去10年来是否已在网络安全上有做得更好,让针对他们的攻击变得更加困难?”她说,“或者,像我们这样的小型组织也许更容易被视为是攻击目标?而且我们在业内广大的联络网使我们成为一个非常好的信息来源,--如果他们能够进入我们的系统内。”
攻击来源无法断定
对于网络攻击的来源,马珞丹说她不愿猜测。
“就像其他人注意到的,可以合理地认为是中华人民共和国发动的这种袭击,因为这符合地缘政治局势。由于这个会议的主题,如果真的是如此我也不会感到惊讶。不过要确切指明是谁发动像这样的攻击总是很难的。”
Cyble网络安全公司的报告在关于黑客袭击的来源部分指出,来自中国的威胁行为体针对台湾发动袭击已经有充分证明的历史。
“尤其是在重大政治事件发生的前后。例如在2024年早些时候台湾总统大选期间,在选举前24小时内就发生显著增加的网络袭击,”报告援引另一家网络安全公司Trellix当时的一份报告表示,即便有这种形态,但针对当前美台国防工业会议的网络袭击幕后的威胁归因仍然无法认定,该公司目前还无法将这次攻击的手法、技术和程序连结到任何已知的威胁行为体或“高级持续性威胁”(advanced persistent threat, APT)团体。
Trellix在2月13日的一份报告中说,针对台湾1月13日总统大选的恶意网络活动从1月11日侦测到的1758次增加到1月12日的4300多次,这是从2023年12月以来的最高点,但有趣的是,选举当天这个数次就急剧下降到只有1000次多一点。
美台防务及军工业长期受黑客攻击
美台防务及军工业人士一直都是中国黑客攻击的对象。
2016年美台国防工业会议举行前几星期,美国网络安全专家就指出,中国黑客对参加会议的人士发动网络袭击,目的是要取得连接其他网络系统的渠道以扩大侵入范围。
那时的网络袭击手法是部分与会人士受到中文“钓鱼”(phishing)邮件,在收件人打开附件后网络入侵者即可取得密码并出入连结系统的所有网络。网络安全专家通过黑客特定手法和中国特性,包括只有中国黑客团体才会使用的恶意软件,判定黑客的身份与中国有关。
马珞丹当时曾告诉美国之音,美台商业协会多年来都是黑客攻击目标,对网络可能遭到黑客入侵一事一向提高警觉,因此在收到可疑电邮后即透过专家进行分析,并及时通知出席会议的与会者对黑客袭击提高警觉。
闭门会议讨论双边防务合作
美台国防工业会议是一个闭门会议,以往美台国防高层官员都会在会议上发表演说。自2002年首次举行以来,今年已经是这个会议的第23届。美台商业协会说,这次会议是美台之间针对未来双方防务合作、国防采购程序、台湾防卫与国家安全需求等议题的一系列会议之一。
今年会议排定的议程,包括地区与全球针对当前台湾面对威胁的感知、对地区盟友应对威胁能力的评估、台海面对的灰色地带威胁的局势、台湾遏阻能力的需求,以及台湾如何面对潜在的封锁或隔离、美国军工业在这种变局中可以扮演的角色等。此外,会议也将讨论2024年美国总统大选后对美台双边关系的影响。
评论区