進階持續性威脅 (APT , Advanced persistent threat) 是一種由具備豐富資源的組織(例如國家級單位或犯罪集團)所發動的進階且持久的網路攻擊(Cyber Attack),通常針對特定目標而進行。進階持續性威脅具備高度複雜性與大規模特徵,且持續時間長。初始入侵後,攻擊者往往會靜待一段時間,觀察受害系統的運作動態,並橫向移動以擴大其在組織中的滲透範圍。
進階持續性威脅的策略各有不同。在某些情況下,敏感資料會被緩慢地外洩;在其他情況下,則可能是一場重大攻擊。這類威脅的目標可分為幾個類別:
- 網路間諜活動(Cyber espionage)
- 破壞和擾亂(Destruction and disruption)(例如,基礎設施或網路)
- 勒索(Extortion)
- 金融竊盜(Financial theft)
- 駭客行動(Hacktivism)
進階持續性威脅的目標
進階持續性威脅的攻擊目標不盡相同。它們通常針對擁有有價值資料、敏感資訊或策略重要資產的組織與產業。這些目標範圍從政府機構到私人企業,而且通常會根據攻擊者的地緣政治、經濟或財務目標挑選。以下列出常見的 APT 攻擊對象。
關鍵基礎設施
當目標是破壞基本服務或收集未來潛在攻擊的情報時,APT 常見的攻擊對象包括能源、水資源、醫療保健、交通運輸與電信等領域的組織。
教育和研究機構
由於大學和研究機構經常從事與國防、能源和醫療保健相關的政府資助專案,它們經常成為網路間諜活動的重要目標。
能源產業
能源產業成為進階持續性威脅 (APT) 目標的另一個原因是,石油、天然氣和電力中斷可能對經濟和政治產生深遠的影響。
金融機構
金融機構經常成為攻擊目標,目的是為了謀取財務利益或破壞經濟穩定,例如竊取資金、攔截個人銀行資訊,或滲透金融網路(例如 SWIFT(環球銀行金融通訊協會 , Society for Worldwide Interbank Financial Telecommunication))。
政府和國防機構
APT 攻擊的目標是敏感的政府和軍事資訊,包括機密情報、國防科技和外交通訊。
媒體團體
媒體組織成為 APT 的目標,目的是影響大眾認知、監視記者或擾亂資訊流通。
政治組織
APT 以政黨和選舉基礎設施為目標,企圖收集情報、散播假訊息或干擾政治運作。
私人組織
航太、製造與製藥等產業的組織掌握著寶貴的智慧財產權 (IP) 和商業機密。APT 攻擊會將這些組織做為目標,尤其是在對國家安全至關重要的領域,藉此謀取經濟利益。
科技和電信公司
APT 攻擊會針對科技與電信公司,因為這些企業通常掌握寶貴的智慧財產權、研究成果與技術資料,可用於獲取經濟利益或國家安全目的。
進階持續性威脅的構成要素
進階持續性威脅具有三個明確的組成要素。其他威脅可能包含其中一兩個,但若要被歸類為進階持續性威脅,則必須同時具備這三個要素。
進階(Advanced)
進階威脅是由具備能力開發客製化漏洞利用工具的團體所驅動,以實現下列目的:
- 利用特定目標的環境和漏洞
- 大規模利用公開漏洞進行攻擊
- 利用兩者的結合
這些攻擊之所以被視為進階的另一個原因,是其極為複雜、完備的情報收集能力。
持續性(Persistent)
在進階持續性威脅的脈絡中,持續性指的是攻擊具有明確目標,而非單純因可乘之機或大規模散播攻擊所策動。這類威脅之所以特別具威脅性,正是因為對手擁有資源與決心,會持續執行攻擊直到達成目的。所謂持續性,也表示攻擊者願意投入時間,執行一場長期且多階段的攻擊行動。
威脅(Threat)
這種威脅的本質在於,它並非簡單地釋放惡意軟體(Malware)並在無人干預的情況下自行執行。進階持續性威脅可能使用惡意軟體,但其執行、推進與行動過程中,皆有真人直接參與。
在進階持續性威脅中,技術與人為介入及監控緊密結合,以執行複雜的漏洞利用手法,並確保任務能順利完成。
犯罪者具有明確目標,且具備專業技能、動機強烈、組織化並擁有充足資金。行動者不限於國家支持的組織。
進階持續性威脅簡史
2005 年,英國與美國國土安全部轄下的電腦緊急應變小組發佈了針對高度複雜、專門針對敏感資訊的攻擊行為的警告。儘管網路攻擊並非新鮮事,但這種程度的複雜性在當時顯得與以往大不相同。
據稱,「進階持續性威脅」一詞是在 2007 年由美國空軍的 Greg Rattray 上校所創。
早在 2007 年,我創造了進階持續性威脅 (Advanced Persistent Threat,APT) 一詞,用來描述當時新興的對手,我們必須與國防工業基地合作來應對這些威脅……從那時起,APT 這個術語與我們的對手性質都已演變。然而,有一點始終未變:在網路空間中,無論防禦有多堅固,只要他們想要取得某些資產,先進的攻擊者就會持續不懈地追擊目標。
Greg Rattray 上校,美國空軍
進階持續性威脅範例
以下是一些最著名的進階持續性威脅。儘管其中一些在該術語使用之前就已發現,但這些威脅仍然被視為進階持續性威脅的例子。
「杜鵑蛋」攻擊
「杜鵑蛋」(Cuckoo’s Egg) 進階持續性威脅是最早被提及的威脅之一。該攻擊針對軍事研究機構,由西德駭客發動。「杜鵑蛋」進階持續性威脅入侵多個連網電腦,竊取與戰略防禦計畫(Strategic Defense Initiative,簡稱 SDI)相關的機密資料。SDI 又被暱稱為「星際大戰計畫」(Star Wars program),其中包含國防機密、軍事與研究通訊,以及來自 SDI 承包商的策略性研究成果。
月光迷宮
月光迷宮 (Moonlight Maze) 是一場大規模的網路間諜行動。此進階持續性威脅攻擊針對多個美國政府機構,包括國防部、NASA(美國太空總署)、軍事承包商、能源部,以及參與軍事研究的大學與研究實驗室。做為早期國家級 APT 的另一個案例,月光迷宮被認為與俄羅斯有關。攻擊者入侵電腦系統,竊取大量敏感資料,包括機密軍事資訊、研究成果與地圖等。
泰坦雨
泰坦雨 (Titan Rain) 是一連串針對美國政府機構、國防承包商及私人企業的網路攻擊。儘管中國政府否認涉入,但這些攻擊被歸因於中國政府支持的駭客行動。
此種進階持續性威脅專門竊取敏感資訊,包括軍事資料、智慧財產權與技術機密。攻擊者入侵了 Lockheed Martin(洛克希德·馬丁)、NASA 及 Sandia National Laboratories(桑迪亞國家實驗室) 等機構的系統,取得關鍵的國防相關資訊。
Sykipot
Sykipot 是一項由中國駭客發起的網路間諜行動。Sykipot 進階持續性威脅利用精密的魚叉式網路釣魚(Spear phishing)電子郵件,內含惡意附件、受感染網站的連結,以及零時差漏洞,以滲透進入受保護的網路系統。
一旦入侵系統,攻擊者就會利用智慧卡技術的漏洞,繞過身分驗證機制,竊取智慧財產權。此 APT 攻擊的目標包括美國的國防承包商與政府機構,以及英國的企業。
幽靈網
幽靈網 (GhostNet) 是另一項大規模的網路間諜行動,據信與中國駭客有關,但中國政府否認參與其中。這起進階持續性威脅行動主要針對政治與外交機構,攻擊範圍涵蓋全球一百多個國家的政治、經濟與媒體目標,其中包括達賴喇嘛辦公室等機構。
幽靈網利用魚叉式網路釣魚電子郵件,內含惡意附件,植入特洛伊木馬程式((Trojans)),執行遠端命令和控制系統的命令,並下載其他惡意軟體,以全面掌控受感染的系統。此 APT 還會使用音訊與視訊錄製裝置,監控受感染系統所在位置的通訊。
極光行動
極光行動 (Operation Aurora) 進階持續性威脅使用零時差漏洞安裝名為 Hydraq 的惡意特洛伊木馬程式來竊取資訊。這起網路攻擊也被歸因於中國政府,儘管中方否認涉入。攻擊目標包括多家美國大型企業,例如 Google、Adobe 和 Intel。
這次攻擊的目的是竊取智慧財產權、企業資料與原始碼。駭客使用複雜的魚叉式網路釣魚技術,藉由利用網頁瀏覽器的漏洞,成功入侵企業內部網路。
受害組織最初並未公開這次攻擊,唯有 Google 是個例外。Google 在發現駭客同時鎖定人權活動人士的 Gmail 帳戶後,選擇揭露這起事件。
RSA 攻擊
RSA 進階持續性威脅攻擊的目標是領先的雙重因子驗證(二階段驗證 , 2FA)解決方案供應商 RSA Security。攻擊者據信受到政府支持,使用魚叉式網路釣魚電子郵件發動攻擊,郵件中含有名為 PoisonIvy 的惡意軟體,該惡意軟體當時是一種廣泛使用的遠端存取木馬。
該惡意軟體利用嵌入在惡意 Excel 檔案附件電子表格中的 Adobe Flash 漏洞,成功入侵 RSA 的網路系統。入侵後,攻擊者竊取與 RSA SecurID 權杖相關的敏感資料。SecurID 是 RSA 的驗證技術,許多組織都使用該技術進行安全性驗證。此次入侵事件影響深遠,因為攻擊者可能利用被竊資料繞過 RSA 客戶(包括國防承包商與政府機構)的安全防護措施。
震網病毒
震網病毒 (Stuxnet) 是一項具有劃時代意義的進階持續性威脅,其設計目的是針對工業控制系統 (ICS , Industrial Control Systems),特別是用於管理伊朗納坦茲 (Natanz) 核設施中離心機的系統。該攻擊普遍被認為是美國與以色列聯合發動的行動,儘管兩國皆予以否認。震網病毒的目標是破壞伊朗的核計畫,透過對離心機造成實體損壞,同時讓破壞行為看起來像是正常運作。
這是首批已知能夠對基礎設施造成實體破壞的網路攻擊之一。震網病毒也是首個已知包含可程式邏輯控制器 (PLC , Programmable Logic Controller) Rootkit 的惡意軟體,該 Rootkit 可用於對 APT 進行程式設定,使其在特定日期自我清除。
Flame
Flame 是一種高度複雜的進階持續性威脅,主要針對中東地區的國家發動攻擊,感染超過上千個系統,涵蓋伊朗、以色列、蘇丹、敘利亞、黎巴嫩、沙烏地阿拉伯與埃及等國。據信,該 APT 是由國家支持的,可能與震網病毒背後的幕後黑手相同。
Flame 的設計初衷是收集大量資訊。它能透過區域網路與 USB 隨身碟進行傳播,具備錄音、螢幕截圖、鍵盤記錄與攔截網路流量的能力。此外,Flame 還能從附近啟用藍牙功能的裝置中竊取聯絡人資訊。
這個 APT 被用來監視政府部門、教育機構與個人,重點在於收集地緣政治情報。Flame 的複雜性、規模,以及多年潛伏的能力,使其成為迄今為止發現的最先進的 APT 工具之一。它的曝光凸顯網路工具在間諜活動與情報收集中日益頻繁的應用。
進階持續性威脅的生命週期
進階持續性威脅由多個系統性步驟組成,這些步驟可以迅速連續執行,也可以分散在較長時間內執行,以協助攻擊者規避偵測。以下是進階持續性威脅的主要執行階段。
取得存取權限或滲透
在選定目標後,進階持續性威脅會透過三個主要途徑進入目標-授權使用者、網路資源或 Web 資產。攻擊者會使用多種方法(有時會輔以分散式阻斷服務 (DDoS) 攻擊來分散攻擊注意力)攻破目標,包括:
- 應用程式漏洞
- 網路釣魚電子郵件
- 魚叉式網路釣魚(spear phishing)
- 勒索軟體(Ransomeware)
- 遠端文件包含漏洞 (RFI , Remote file inclusion)
- 社交工程學(Social Engineering)
- SQL 注入(SQL Injection)
- 偽裝成合法軟體的特洛伊木馬程式
- 水坑攻擊(Watering hole attacks)
- 零時差漏洞(Zero-day exploits)
建立立足點
一旦成功入侵目標,攻擊者便會建立一個由後門與通道構成的網路,使其能夠不被發現地穿越系統。惡意軟體通常也會被設計成能夠掩蓋攻擊者的行蹤。攻擊者同時會利用命令與控制 (CnC , Command-and-Control) 伺服器建立對網路的遠端存取。
擴充和升級
建立立足點後,攻擊者會會透過橫向移動進一步擴大存取範圍與控制權,滲透至其他伺服器、更高安全等級的網路區段,甚至是其他網路。一旦深入系統,他們便會使用鍵盤側錄與暴力破解攻擊(brute-force attacks)來取得特殊權限帳戶資訊,進一步提升其權限。
發動攻擊並擷取訊息
當攻擊者取得所需的存取權限後,便會開始進行資料外洩(Data breach) 程序,通常包括將資訊集中、加密並壓縮,以加快擷取速度並避免被發現。對多數進階持續性威脅而言,這並不是攻擊的終點。在許多情況下,威脅仍會潛伏於背景中,伺機發動下一波攻擊,或悄悄持續竊取資料。
緩解進階持續性威脅
由於進階持續性威脅的龐大規模且具高度複雜性,緩解措施必須採取多方面的策略,善用組織安全計畫中的大部分要素與使用者的力量。
可用於緩解進階持續性威脅的網路安全(Cybersecurity)和情報解決方案包括:
- 採用最小權限原則(PoLP , Principle of least privilege)的存取控制(Access controls)
- 應用程式和網域白名單
- 資料安全(Data Security)分析
- 加密(Encryption)
- 端點保護
- 入侵偵測
- 惡意軟體偵測
- 網路微分段(microsegmentation)
- 修補網路軟體和作業系統漏洞
- 滲透測試
- 技術情報,例如與安全資訊和事件管理器 (SIEM , Security Information and Event Manager) 配合使用的入侵指標 (IOC , Indicators of Compromise)
- 流量監控
- Web 應用程式防火牆 (WAF , Web application firewalls)
意識提升與事前準備是有效因應進階持續性威脅的關鍵
進階持續性威脅本質上極具創造性,善於利用漏洞。想要有效防禦這類威脅,必須建立強大的安全態勢,並採取整體性的安全方法,並採取整體性的安全策略。所有可能的進入點,無論是機器還是人員,都必須納入考量並加以防護。
這類攻擊的攻擊面(Attack Surface)相當廣泛,但市面上已有大量系統與服務可用於防禦。然而,這些防禦措施必須結合對所有人為攻擊途徑的高度警覺,才能預防或減輕進階持續性威脅可能帶來的災難性後果。
