◎曾敏禎
美國、澳洲、加拿大、紐西蘭、英國等13國、23個單位於8月底一同發布《聯合網路安全聲明》,旨在「打擊由中共政府支持、破壞全球網路以支援其全球間諜活動的駭客組織」,指出「鹽颱風」(Salt Typhoon,或被稱OPERATOR PANDA, RedMike, UNC5807, GhostEmperor)是一場由北京當局資助、歷時多年的大規模網路攻擊行動,滲透全球80多個國家,攻擊範圍涵蓋電信、政府、軍事、交通、住宿等基礎設施,影響幾乎所有美國人,竊取全球政界人士、間諜及活動人士的資料。
主動防禦 強化資安防護
中共駭客的攻擊模式大多是針對「已知、公開卻尚未修補的漏洞 (Common Vulnerabilities and Exposures, CVE)」來發動攻擊,而不是靠罕見的未知漏洞「零日攻擊」,主要針對各類邊界設備(VPN、防火牆、路由器)。攻擊流程自「初始入侵」開始,駭客便著手建立「持久性」,透過修改設備設定或植入隱藏後門,確保長期控制受害系統;隨後利用非標準連接埠、內建功能及容器技術隱匿行動,使惡意流量混入正常網路活動中而難以偵測。接著,攻擊者竊取管理憑證與配置資料進行「橫向移動與收集」,滲透更多內部系統或網路設備,最終透過加密隧道或網路互連,將資料混入正常流量中「外洩」,降低被發現的風險。由於攻擊具有高度隱蔽性與長期性,傳統防護與監控手段難以及時偵測,對資安防護構成重大挑戰。
這份聯合聲明,主要是提醒關鍵基礎設施(Critical Infrastructure, CI)的防禦者(尤其是電信業者)要採取主動防禦思維,因為進階持續性威脅(Advanced Persistent Threat, APT)攻擊者往往不是「一次性」的入侵,而是長期潛伏在網路中,透過各種方式維持控制權。如果僅針對單一異常進行清除,駭客很可能依舊留有後門,因此必須全面盤點、同步清除,才能夠真正驅逐威脅。整體重點可分為3個層次:首先,從防禦策略層面,要優先修補已知漏洞,並妥善規劃好清除順序,以避免打草驚蛇讓駭客提前反應;同時,確保事件回應流程符合法規,包括資料外洩的通報義務,並在過程中妥善保護調查細節,避免駭客察覺並進行反制。
其二,在搜尋與監控層面上又可進一步細分為三個面向,首先是網路與帳號設定的檢查,這包括路由表(Routing Table)決定資料傳送路徑的「地圖」;接著是網路存取控制清單(ACL),規範哪些用戶可以進入哪些資源的「出入名單」;還包括帳號權限所擁有的權限等級。其次是對異常行為與可疑線索的偵測,例如虛擬化容器(Container)可能被駭客用作藏匿惡意程式的迷你獨立環境;非標準連接埠則成為駭客繞過監控的「秘密入口」;同時,對可疑的加密網路傳輸協定(Secure Shell, SSH)或超文本傳輸安全協定(HyperText Transfer Protocol Secure, HTTPS)行為,例如異常來源、時間或登入頻率。最後是完整性驗證與流量分析,這包括韌體完整性比對,檢查設備的「說明書」是否與官方原版一致;也會利用雜湊值檢查驗證設備的「DNA 指紋」確認未被竄改。此外,透過事件日誌(Event Log)與流量分析,進一步掌握檔案傳輸協定(FTP)、登入驗證系統(TACACS+)、原始封包紀錄(PCAP)及跨路由器登入等相關的異常活動。
第三,應變層面上,若發現惡意行為,應先完整蒐集證據,再協調一致行動清除,以確保驅逐過程不會被駭客提前察覺,同時依規定向資安、執法或監管機構進行通報。
竊取情資 數位監控加劇
「鹽颱風」駭客組織的出現及其大規模攻擊行動,具有深遠且令人警惕的安全意涵。首先,這場跨越80多個國家的長期滲透行動,代表中共網路作戰已從早期單一的商業機密竊取,進化到結合國家戰略、軍事情報與全球影響力投射的複合型態。透過滲入電信業者、網路服務供應商(Internet Service Providers, ISPs)、住宿與交通體系,中共獲取的不僅是靜態數據,更是能夠即時掌握政界人士、軍事人員乃至一般公民的行蹤與通訊內容的能力,顯示傳統「間諜行為」已升級為結構性「數位監控網路」。
其次,攻擊範圍之廣、滲透持續之久,顯示中國大陸具備與美國及其盟國相匹敵的網路滲透技術與組織耐力,並藉由民間公司(如報告中點名的「四川聚信」、「北京寰宇天穹」和「四川智信銳捷」)與共軍的合作模糊國家與企業界線,使得西方傳統的嚇阻與制裁機制更難精準對應。再者,被竊取的大量數據將形成可長期回收利用的情報資產,未來中共可透過大數據分析、人工智慧模型進行比對與預測,逐步構建針對特定人群與目標的「數位人設檔案」,這不僅提高對抗國家在外交、軍事與情報領域的風險,也對民間社會形成持續性安全威脅。
層層嚇阻 完善合作機制
「鹽颱風」(及類似由國家支持之APT)代表的不僅是單一事件,而是中共在數位領域追求戰略優勢的系統性行動,其目標係藉由長期滲透國際電信骨幹與營運商設備,累積大規模通信數據與情報能力。面對此一態勢,國安應以「聯盟化防禦、分層化威懾」為核心:第一,與美、英、加、澳、紐等「五眼聯盟」、歐洲、日本等國,建立更高頻率的跨國威脅情報共享機制,統一入侵指標(Indicators of Compromise, IoC)、攻擊者戰術技術程序(Tactics, Techniques, and Procedures, TTP)資料庫,減少中共駭客跨國轉移的縫隙;第二,將重大電信事件納入聯合危機演練(包括跨域軍民協調的通訊中斷情景),以測試從偵測、層級通報到外交與經濟反制的整體鏈條,加上透過「數位聯合演習」讓軍方、情報單位與民間網路安全機構共同訓練;第三,在戰略層面明確訊息:對外公開歸因與定期發布聯合通報,如同此次聯合聲明,各國應持續點名譴責,可提升透明度並增加施壓中共外交成本,同時避免單一國家承擔全部政治風險。建立一套可持續運作的國際數位安全體系,將網路攻勢的「隱匿優勢」轉換為被揭露與制裁的代價,進而削弱對手透過長期潛伏累積情報的戰略效益。
(作者為國防院網路安全與決策推演研究所政策分析員;記者李承勳輯)