人性攻心的 APT 威脅

電腦黑客入侵引發金融震蕩或核輻射洩漏的災難級事故,以往只是科幻小說題材,但現在有成為事實的風險。《紐約時報》取得美國國土安全部與聯邦調查局的報告顯示,多國核電廠保安系統自今年五月起,遭到黑客持續攻擊,報告將事件列入「進階持續性威脅」(Advanced Persistent Threat,簡稱 APT),屬黃色警報級別。

電腦黑客入侵引發金融震蕩或核輻射洩漏的災難級事故,以往只是科幻小說題材,但現在有成為事實的風險。

《紐約時報》取得美國國土安全部與聯邦調查局的報告顯示,多國核電廠保安系統自今年五月起,遭到黑客持續攻擊,報告將事件列入「進階持續性威脅」(Advanced Persistent Threat,簡稱 APT),屬黃色警報級別。

 

上一代的黑客攻擊往往是執行中毒檔案後,伺服器被奪權,或硬碟遭到清洗;現在的APT 卻來自技術精良、精心策劃的攻擊團隊,攻擊手法更低調緩慢,潛伏期較長,步驟也更迂迴。即使銀行內部系統或核電廠工業控制系統,刻意與互聯網分隔,以往被認為黑客不能觸及,但在社交媒體日漸普及的今天,APT 已有可能滲透到這些關鍵系統。

以銀行 ATM 提款機系統為例,若黑客的目標是擁有系統控制權限的高級工程師,潛伏滲透套取到系統主管人員的敏感資料,或許有機會跳進分隔的內部系統,取得 ATM 主伺服器控制權。之後就有可能在指定的提款終端機安裝有害軟件,改變程式指令,讓同夥歹徒在提款機輸入持定指令,非法提取到大量現金。

今次核電廠面臨的黑客攻擊,正是採取這種策略。攻擊仿效俄羅斯黑客組織「能源熊」(Energetic Bear),手法包括含惡意軟件的Word文檔、遭黑客控制的網站,及水坑攻擊 (watering hole attacks)。APT 配合社交工程發動,例如向目標人物寄發詳細求職電郵,附件是含惡意軟件的履歷文檔,目標人物很可能會打開;又觀察目標平時最常到訪的第三方網站,把網站黑掉,或將目標誤導到假網站,套取密碼及個人資料,企圖獲取權限進入核設施系統。

這一輪攻擊中,黑客未能成功進入核電廠工業系統,調查人員亦不清楚黑客的的具體破壞目標,到底是發動恐怖襲擊、還是盜取核技術情報。但新型 APT 的發動模式,己敲響資訊保安業的警鐘:重要的金融與工業系統,即使擁有最滴水不漏的保安技術,都需要人類進行日常操作管理。在社交媒體遍天下的今天,APT 正是循人性的弱點進行攻擊。

即使重要系統與互聯網分隔,只要是有人負責操作的系統,就不能對 APT 免疫。今時今日的資訊保安,除了加密、防火牆等硬技術,攻防戰也演變到人性心戰的軟技術範圍。要保衞系統固若金湯,既需要資訊保安專家的高強技術,也需要機構上下職員齊心,加強措施和意識,防範黑客威脅。

 

作者: Job Lam

IBM 香港資訊安全業務總經理