「中國領土主權、不容外界干涉,中國一點都不能少。」去年(2022)8月,《民視新聞》在YouTube的直播突然被斗大的紅色標語覆蓋,緊接著播起〈我和我的祖國〉這首帶有強烈民族主義的歌曲,台灣本土意識鮮明的電視台瞬間成為「一個中國」宣傳平台。其後,國家通訊傳播委員會(NCC)更證實,《民視》在1個月內遭到多達4次的駭客攻擊。
然而《民視》的情況並非個案。事實上,近年來中國駭客持續鎖定多間台灣媒體進行攻擊,隨著總統大選日期逼近,今年連國家通訊社《中央通訊社》受害程度都更上一層樓。台灣媒體遭到網路攻擊的現況為何?紅色駭客的襲擊又會造成什麼影響?我們試圖從未曾揭露的實際案例和資安專家眼中找出答案。
2023年3月初,台灣的國家通訊社《中央通訊社》(簡稱《中央社》)歷經了前所未有的大規模網路攻擊。
回想起當時的場景,時任《中央社》社長張瑞昌仍心有餘悸:「網站癱瘓超過5個小時,這是我上任6年以來最嚴重的一次攻擊。」
為了從源頭遏阻攻勢,《中央社》當天立即聯繫政府部門,由數位發展部聯絡中華電信試用流量清洗服務,納入24小時的攻擊防護監控和更多層次的聯防機制,以有效緩解瞬間大量的DDoS攻擊。同時,因影響時間較長,《中央社》也將資安通報提高為2級資安事件。
「因為這不是我們第一次被攻擊,從2020年以來幾乎是常態了,」張瑞昌嘆氣解釋。
作為國家級通訊社,《中央社》除了日常新聞發布外,更肩負提供政府部門正確資訊的重責大任,這也讓他們屢次成為駭客攻擊的焦點。
2020年7月1日,《中央社》就曾經歷一波攻勢。當時該社社內的3台伺服器分別湧進每一秒25萬、13萬、13萬的連線流量,這是正常時刻的數十倍。同年8月1日、9月1日,同樣的網路攻擊再度上演。張瑞昌分析:
「當時是蔡總統第二任開頭,我們就回頭去想,7月1日跟8月1日是什麼日子?才發現是老共建黨跟解放軍建軍的日子。」
為了清查是哪部主機遭到駭客入侵,《中央社》對每台電腦進行掃描探測,才將攻擊者踢出。但在駭客長期潛伏的狀態下,《中央社》已經被入侵了多久?遺失了哪些資料?幾乎難以徹查。
更嚴重的問題發生在2022年年底,當時《中央社》網站內容被完整複製和盜用,盜版網頁甚至被Google搜尋引擎誤判為官方版本。
此次風波經《中央社》調查後,雖發現作案者為境外博弈網站,目的可能是為了流量而祭出偏門手段,但已引發內部資安人員高度憂心。一位《中央社》資安人員指出,《中央社》的客戶除了一般讀者,還有各家媒體和Yahoo這類的入口網站,該社的每日活動預告更是媒體主管們定期使用的服務,一旦《中央社》遭到假冒、癱瘓或是重要資訊外洩,後果難以想像。
近日轉任《中央廣播電台》總台長新職的張瑞昌對此強調,「權威性」和「資訊正確性」是《中央社》營運中最重要的指標,但在過去幾年多樣化的網路攻擊下,這幾項指標已經面臨嚴重威脅。
《民視》(FTV)被駭的情況則截然不同,對岸駭客不但攻勢強烈,更挑釁地宣示統一意圖。2022年8月6日晚間,《民視新聞》在YouTube的直播頻道突然被斗大的紅色標語覆蓋,上頭寫著「中國領土主權、不容外界干涉,中國一點都不能少」。
《民視》隨後發表聲明指出:「電視頻道播出皆正常,被駭客影響的是網路播出內容,主因是訊源主機被駭客入侵,造成《民視新聞》在YouTube直播播出內容與電視頻道內容不同。在晚間20:52收到通知,20:54即移除置入影片,訊源恢復正常。」
回顧這起威嚇性十足的的資安事故時,《民視》資安負責人向《報導者》說明,該起事件是由於YouTube直播的串流金鑰被盜,導致訊號源被覆蓋,播出畫面被駭客置換。儘管問題發生在外部,但他仍擔心公司內部網路遭到入侵。
實際上,這種擔心其來有自。在外部資安公司提供給《民視》的報表中,近年來攻擊的數字和頻率有明顯地增高,這凸顯出鎖定媒體的戰事仍在升溫。
而早在十多年前起,這樣的攻勢就已經萌芽。
2013年,以AI 資安科技聞名的奧義智慧科技就在被視為全球資安最高殿堂的美國黑帽大會(Black Hat USA)上分享他們的觀察。不公開的報告裡,奧義智慧科技團隊從一處被駭的電腦一路往回追溯,最終發現從「國民黨黨部」的數十台主機到《蘋果日報》和《中央社》共有數百台電腦被植入了後門,這代表雙方透過網路分享的訊息,時時刻刻都在中國駭客的監視之下。(後經《中央社》總編輯王思捷確認,當時該社共有27台電腦受害)
儘管駭客的身影屢次在事件調查中被揭露,但攻擊的態勢近年來卻不減反增。專精網路威脅與資訊作戰研究的TeamT5杜浦數位安全公司就發現,自2019年以來,愈來愈多的台灣媒體陷入密集的網路攻擊火網裡。
「光是這兩年,我們就主動通報了起碼9間媒體(遭駭客入侵),並到其中5間進行調查。裡面多數都是主流媒體,上百名員工,而且被(駭客)打下來的都是核心的系統,」TeamT5威脅情資研究員廖子慶向我們透露。
廖子慶口中「被打下」的核心系統,正是媒體最仰賴的郵件伺服器(email server)和AD伺服器(Active Directory server)。一個掌管內外的溝通,一個則負責各類帳號管理與發文權限等,兩者共同構成媒體最重要的功能:發布新聞。
基於保密協定,TeamT5無法公開他們調查發現遭駭的媒體名稱,只能說明駭客入侵的具體過程。參與鑑識的另一名威脅情資研究員陳躍天向我們解釋,2022年年底該公司就偵測到一起針對A報社的APT攻擊。
陳躍天指出,駭客先是運用漏洞掃描工具找到了A報社的SQL注入網頁漏洞,順著漏洞潛入後取得初步權限;緊接著便將名為「可愛貓(Mimikatz)」的密碼竊取工具放進被入侵的主機裡,準備朝不同電腦邁進。
強大的「可愛貓」在資安圈有「密碼竊取神器」之稱,可以運用Windows系統的缺陷輕鬆竊取記憶體內存的帳號密碼,為駭客創造強力的跳板,讓他們輕鬆在不同電腦中跳躍。這樣的工具,也是俄羅斯對烏克蘭電廠發起網路攻擊時所使用的武器之一。
隨著「可愛貓」生效,駭客進一步取得了A報社IT人員的最高權限。得以在整間公司的網路中自由遊走後,他們在多數主機內植入後門程式,一步一步橫向移動,最終占領報社的郵件伺服器,成功取得社內幾百名員工的信箱帳號、密碼、所有信件內容和聯繫對象。
「那被偷的資訊就會很廣,包含記者在跟誰聯繫?談什麼內容?特定項目的聯繫人是誰?針對媒體的APT攻擊,對資訊戰來說就是一個重要的階段,目標就是為了要收集大量資訊,」TeamT5團隊進一步分析。
為了描繪頻繁發生在台灣媒體身上的APT攻擊,TeamT5為這波攻勢取了一個代號:「千里眼行動」。他們也以此揭露攻擊者的幾大意圖,包括收集獨特資訊、掌握政治人物重要資料,以及假冒媒體發布新聞等惡意目的。
至於攻擊帶來的影響,TeamT5指出,大部分民眾仍傾向相信有公信力的新聞媒體報導,如果中國APT族群入侵台灣媒體散布假訊息,就有機會煽動大眾的情緒,影響政治情勢。
也因為如此,每每在台灣選舉期間,鎖定台灣媒體的攻勢頻頻出現。奧義智慧科技創辦人吳明蔚就點出原因,他指出選舉期間是政媒互動最頻繁的時刻,而中國駭客們除了將手伸入政黨,更處心積慮滲透跟政黨積極交流的媒體,媒體因此成為資訊戰裡的優先標的。
具體而言,奧義智慧科技資安研究主任陳仲寬更以「養雞場」作為比喻。他解釋,每一台被惡意程式感染的媒體電腦就像是「肉雞」,幾百隻四處蒐羅來的肉雞構成了養雞場,而駭客們就是養雞場主人。主人會定期從「肉雞」身上蒐集雞蛋和雞肉,這可能是對於政治事件的解讀,也可能是高價值的機敏資料。
各國的例子裡,駭客組織鎖定媒體進行攻擊帶來不安和社會動盪,已有不少先例。
客戶遍布全美前1,000家企業的資安公司「證據點」(Proofpoint)近年發布的報告內容顯示,駭客團體經常偽裝成記者和媒體組織,因為他們可以「輕易打開其他人所無法打開的大門」。若取得記者電子郵件帳戶的權限,不只可獲得敏感資訊、內部新聞、對特定領域的關鍵見解和獨特消息來源;帳號本身更是良好的偽裝,讓駭客得以攻擊其他對象,甚至被用來傳播虛假訊息。
2013年,一名駭客就運用APT攻擊成功接管《美聯社》(Associated Press)官方Twitter帳戶,並發布推文聲稱時任美國總統歐巴馬(Barack Obama)在白宮襲擊中受傷。推文發布後大約2分鐘內美國股市下跌超過100點。
同一年,惡名昭彰的「黑暗首爾」(DarkSeoul)行動裡,北韓駭客花費8個月時間,透過釣魚郵件發起APT攻擊。他們潛入韓國銀行和媒體至少1,500次,竊取資訊並部署高達76種惡意程式。據韓國放送通信委員會(KCC)調查,這波詳細規劃的襲擊,最終導致近50,000台電腦被駭,韓國三大電視台《KBS》、《MBC》和《YTN》更因電腦硬碟被清空而停止運作;此外,新韓銀行、農協銀行和濟州銀行的上萬台個人電腦也紛紛停擺,導致網路銀行交易中斷和ATM機台無法連線等。
時至今日,「冒充記者」仍是北韓駭客組織慣用的手段。今年3月,已被Google收購的資安公司Mandiant就發布報告指出,APT43是與北韓利益密切相關的駭客團體,他們最常使用的攻擊手法就是在網路釣魚電子郵件中冒充記者或智庫,從被害人手中騙取特定資訊。
該報告也舉證幾起攻擊事件中,攻擊者使用的電子郵件地址以「@voanews.live」結尾,該地址與美國新聞媒體《美國之音》(Voice of America, VOA)記者使用的「@voanews.com」地址近乎一致。另外,韓國《東亞日報》記者Shin Jin-woo的身分也被用來向美國智庫詢問北韓政策方向。
回到台灣,淡江大學國際事務與戰略研究所助理教授林穎佑告訴《報導者》,他在2022年10月發表研究中國軍方動態與網路部隊發展的文章後,信箱就開始收到各路來歷不明的中文釣魚信件,有偽裝成各式智庫的、假冒學生討教的、更有以記者邀訪為名義的。
「為什麼知道是假的?因為網址裡都有一些奇妙的錯字,(假冒)採訪信裡也都有附檔或貼連結,說要先線上面談,那可能就是木馬(程式),」林穎佑研判。
林穎佑的現身說法,坐實了台灣媒體、記者也成為駭客操弄工具的事實。
在全球,有50萬間企業仰賴他們的資安服務,也為不少台灣主流媒體解決資安危機的趨勢科技,則以「準戰爭」的角度來解讀這股網路攻勢。
「近期就接過一個案例,一個(媒體)客戶連製播系統都被入侵,那代表這間電視台上上下下全被(駭客)摸透了,」趨勢科技台灣區暨香港區總經理洪偉淦透露。
他進一步解釋,這家台灣主流電視台的問題發生在負責錄製及播放新聞的核心軟體上,這樣的軟體通常需要非常高的操作權限才能啟動,更是藏在公司整體網路的深層。而這樣的製播系統一旦被駭客攻下,代表與之相連的AD伺服器(Active Directory Server)極高機率早已淪陷,就像城堡大門落入敵人之手,攻擊方在城內就暢行無阻。
洪偉淦擔憂,這類型入侵已經非常危險,只差一步之遙就可以讓整間媒體停止運作。
「所以我認為這是一個準戰爭的準備,控制媒體絕對是製造社會擾動最高效的方法,加上媒體多半是中小企業的規模,打起來並不費力卻頗有價值,所以他(駭客)沒有理由不打。」
2022年4月20日,公廣集團之一的《華視》在晨間新聞播報時刻,跑馬燈上接連公告兩岸開戰快訊,直到開播7分多鐘後才撤下,事後《華視》雖宣稱是防災演習訊息誤植,但短時間內已經引發民眾恐慌。面對這樣的失誤,洪偉淦強調這雖然不是實際攻擊,但等於是替駭客做了最好的示範;一但局勢驟變,攻擊方接管媒體控制權,就可以利用新聞散布恐懼。
自《中央社》以降,不少主流媒體紛紛在APT攻擊裡陷落;更令人擔憂的是,這可能只是少數浮上檯面的例子。
根據趨勢科技2023年上半年的資安報告顯示,全球的APT攻擊中,光是亞洲就占了51%,而針對媒體的進犯在近兩年來也跟著攀升。不少資安公司都有一致的觀察。
在台灣國防產業發展協會和資訊安全協會兩端都擔任副理事長,吳明蔚從軍事角度解讀,他認為近年台灣媒體所面臨到的攻勢,早就不若以往是零星的、嘗試性的低技術攻擊,更像是自動化機械部隊全面來襲,一場沒有煙硝的戰爭早已打響。
機械部隊如何構成?奧義智慧科技在運用AI觀測近年頻繁的網路攻勢時,就發現中國的駭客組織除了使用專屬的「Waterbear」、「ShadowPad」、「Taidoor」等惡意程式外,也已將「Cobalt Strike」這樣的商用滲透工具運用得淋漓盡致。
他們向《報導者》解釋,Cobalt Strike主要在協助資安公司進行紅隊入侵攻擊演練,內含多種滲透測試工具。隨著技術開發者不斷改寫,如今它能生成各種木馬程式、發起釣魚郵件攻擊、掃描漏洞和密碼竊取等,幾乎涵蓋了APT攻擊中所需要的各種技術環節,更兼容團隊合作來發揮更大威力,這也是其被資安業界稱為「神器」、過去甚至屬於美國出口管制類產品的原因。
除卻優異性能,這類特製後門程式的自動化更是威力十足。陳仲寬進一步說明,這款神器就像是各種武器的結合,只要操作者下令,大規模作戰就自動展開;因此它對系統的破壞更為嚴重,一但它突破漏洞,不僅可以瞞過防毒軟體,還能在資安防護下橫向移動,最終打下整間公司的系統,建立綿密的控制網絡,且這一切都是自動進行。
實際數據可以佐證自動化武器的威力。陳仲寬舉例,「10年前,20個駭客可以入侵並管理300家公司,有了這個工具加持,同樣一群人可以控制上萬家企業,這也是台灣媒體普遍遭到駭客入侵的原因。」
在命名這些APT組織時,TeamT5通常以中國神怪故事作為發想,從攻擊手法和特徵來挑選適合的角色。他們解釋,「畫皮」這個駭客組織習慣將其使用的惡意程式包上各種偽裝來躲避防毒軟體偵測,就像《聊齋志異》裡披上人皮的妖怪,「現在這些換臉的妖怪,就躲在好幾家台灣媒體裡。」
將另一群中國駭客取名為「鉤蛇」,TeamT5威脅情資研究員廖子慶指出,這是因為該組織最常使用的手法是釣魚信件,他們會將信中的連結改動一、兩個字,好引誘被害人上鉤。採訪時,我們就在釣魚網址中看到兩個與台灣媒體名稱只有一字之差的熟悉字詞:「UDM」和「liberty time」。此外,他也補充,該組織過去一直攻擊台灣軍方和交通部門,如今箭頭也對準媒體,就好像躲在水面下的「鉤蛇」,只要有人靠近就會被生吞活剝。
儘管在層層偽裝與低調潛伏之中,這些APT攻擊組織的輪廓仍然模糊不清,但從惡名昭彰的APT41、畫皮再到鉤蛇,TeamT5以中國神怪命名的邏輯背後,目的是強調駭客群體與中國政府之間的高度關聯。
當中國駭客攻擊台灣媒體已然成為常態,不但影響媒體的工作和聲譽,更會威脅到公民社會和言論自由。
其中,洪偉淦點出另一種擔憂,那就是「多數媒體都低估了自己的價值」。
近年來,趨勢科技會主動找上受駭媒體的IT單位進行通報,同樣提供義務性的事件調查與架構調整建議,事後還會簽訂保密協議來保護受害者;但卻只有不到4成的台灣媒體願意接受協助,更不用說對整體系統進行清查、找出問題根源。洪偉淦委婉地說:
「他們(媒體)可能會覺得就算被入侵,應該也沒有太嚴重。因為沒有太了不起的個資或機敏情報,所以這方面(防駭)的態度,我個人覺得是比較沒有那麼積極。」
一個現實的考量是:提升資安防護需要投入大筆經費,除了大型媒體組織較有能力,中小型媒體組織往往力有未逮。
此外,近年通過的《資通安全管理法》雖然有針對我國關鍵基礎設施的資安進行規範,分類中也有「通訊傳播」領域,只是除了公廣集團和特定媒體外,多數新聞單位並不在這樣的資安管制範圍內,資安環境更難以跟上駭客們不斷加速的步伐。
相較之下,近年有過多次遭駭經驗的《中央社》對資安要求相對嚴格。今年初歷經網站癱瘓風暴的《中央社》時任社長張瑞昌指出,為了防範網攻,該社資訊中心會不定期寄發釣魚郵件給外勤記者,用以測試並提醒記者不應點擊來路不明的信件。此外,當記者連回公司內網,社內也配有工具來偵測其電腦是否藏有木馬程式;一旦發現異常,就會通知被害者將電腦關機、隔離並交由資訊人員處置。
另一方面,為提升員工們的資安意識,《中央社》內部更設有「新聞學院」,每個月會定期召開專題講座,如APT攻擊和社交工程等資安議題就曾經邀請專家開課,要讓社內新聞從業人員理解,在如今頻繁的網路攻勢下,資訊安全該如何從每個人開始做起。
儘管如此,《中央社》仍意識到現有的資安防線並不夠堅固。張瑞昌指出,2022年底金管會推動的「金融資安行動方案2.0」中,除了規範每一間金融機構都要設置具備專業的「資安長」外,更推動定期共同聯繫會議來加強交流與研議金融圈的資安戰略,但台灣大部分媒體並沒有這種做法,也普遍欠缺相關體認。
他強調,媒體資安其實是國家安全問題:
「提供正確訊息是一個最基本的防線,如果資安做不好,(媒體)寫再好的訊息都傳遞不出去,訊息錯亂國民就會無所遵循,連這個防線都潰堤,那台灣的安全就危在旦夕。」
作為少數有設置「資安長」職位的媒體,《公共電視》(簡稱《公視》)也抱持相同觀點。《公視》副總經理陳昀利強調:
「《公視》每週都會出現30次以上駭客試圖入侵或是植入惡意程式的狀況,假設這樣的角色被駭客當成工具,不管是散播造假資料或是影片,都會造成社會混亂,所以正常的媒體是維護國家安定重要的支柱。」
過去待在資安要求相對嚴格的金融業,今年7月才到職的陳昀利,上任的主要任務就是替《公視》建立資安防護體系,包括成立專任的資安小組規劃相關政策、將新聞核心的製播系統特別區隔開來,甚至規定所有USB的使用必須先經過掃毒等等;他們並訂定了3~5年的中期目標,每年編列2,000萬預算要將老舊系統逐步汰換,以免軟體漏洞成為駭客侵門踏戶的便道。
相對上述的國家通訊社和公共性質媒體,《民視》則祭出各種管道來強化資安韌性。他們告訴《報導者》,除了與外部資安公司合作購買流量清洗服務來防堵DDos流量攻擊外,近年《民視》也導入更多的資安設備與弱點掃描工具,並投入更多資安人力來應對異常狀況,希望在被駭客列為主要攻擊目標下,盡可能減少攻擊帶來的影響。
《聯合報系》也在書面回覆《報導者》提問時強調,該報系非常重視資安管理,在2016年5月5日就已取得ISO27001(資訊安全管理)認證。而近年來駭客攻擊愈加頻繁,攻擊手法也愈發複雜,相對地,需付出更多資源與人力應付駭客攻擊。
有鑒於媒體的重要性在滿天飛的不實訊息和網路攻擊中與日俱增,TeamT5在今年亞洲最大的資安盛會「黑帽大會」(Black Hat Asia)上,就再次建議台灣媒體需要採取更積極的措施來保護自己的系統和數據,包括強化員工資訊安全教育、建立完善的安全控制措施、更新並修補軟體漏洞,以及定期進行漏洞掃描和測試。
沒有煙硝的戰爭裡,戰線一點一滴持續向前推進,駭客運用自動化軟體將媒體當成「肉雞」豢養,不只竊取關鍵資訊,更有意利用媒體成為攻擊工具。隨著明年1月總統大選逐漸加溫,中國駭客組織對於台灣媒體的攻勢也跟著一步步升級,該如何讓媒體資安更具韌性,將是強化台灣民主防衛機制中不容輕忽的重要一環。
用行動支持報導者
獨立的精神,是自由思想的條件。獨立的媒體,才能守護公共領域,讓自由的討論和真相浮現。
在艱困的媒體環境,《報導者》堅持以非營利組織的模式投入公共領域的調查與深度報導。我們透過讀者的贊助支持來營運,不仰賴商業廣告置入,在獨立自主的前提下,穿梭在各項重要公共議題中。
你的支持能幫助《報導者》持續追蹤國內外新聞事件的真相,邀請你加入 3 種支持方案,和我們一起推動這場媒體小革命。