文/鍺辰芳
2024年美台國防工業會議(US-Taiwan Defense Industry Conference)即將舉行,網路安全公司發現,主辦會議的美台商業協會(US-Taiwan Business Council)電郵系統遭到駭客襲擊,但因防範得宜,此一網路入侵並未成功,而網路攻擊幕後的攻擊者身分目前還無法認定。
一年一度的美台國防工業會議今年定於9月22至24日在賓州的費城舉行。總部在喬治亞州亞特蘭大的網路安全公司Cyble上星期五(9月13日)宣布,發現一個針對美台國防工業會議的網路攻擊行動,此行動使用一個惡意文檔來執行記憶體攻擊(in-memory attack),以躲避偵測來取得敏感資料。
▲美台國防工業會議將舉行,主辦電郵系統遭網路攻擊(資料畫面/VOA中文網/美台商業協會提供)
該公司研究與情報研究室(Cyble Research and Intelligence Labs, CRIL)說,此一網絡襲擊涉及一個偽裝成模仿美台商業協會登記表的正常文件格式PDF壓縮文檔,一旦這個文檔被打開後即可執行在開啟電腦資料夾中留下一個PDF文件的誘餌指令,以此建立持續性攻擊。
每年會議前後都會受到網路攻擊
美台商業協會副會長馬珞丹(Lotta Danielson)針對此事接受美國之音(VOA)電郵採訪時說,惡意檔案是來自一個似為國防工業會議參與者的電郵,看似是為某知名台灣公司工作的人。
「並不是說,最近有許多這種攻擊在激增。我們通常每年在會議前後會受到幾次這種攻擊,我想或許今年這個實際的惡意軟體有意思到值得Cyble公司去研究,」她說。
馬珞丹表示,對該協會的網路攻擊完全沒有像2017年以前一樣那麼頻繁,不過發生的次數仍然多到讓該協會對電子郵件與文件相當謹慎。
「我好奇的是,就國防業界整體而言--在台灣或在美國--,過去10年來是否已在網路安全上有做得更好,讓針對他們的攻擊變得更加困難?」她說,“或者,像我們這樣的小型組織也許更容易被視為是攻擊目標?而且我們在業內廣大的聯絡網使我們成為一個非常好的信息來源,--如果他們能夠進入我們的系統內。”
攻擊來源無法斷定
對於網路攻擊的來源,馬珞丹說她不願猜測。
「就像其他人注意到的,可以合理地認為是中華人民共和國發動的這種攻擊,因為這符合地緣政治局勢。由於這個會議的主題,如果真的是如此我也不會感到驚訝。不過要確切指明是誰發動像這樣的攻擊總是很難的。
Cyble網路安全公司的報告在關於駭客攻擊的來源部分指出,來自中國的威脅行為體針對台灣發動攻擊已經有充分證明的歷史。
「尤其是在重大政治事件發生的前後。例如在2024年早些時候台灣總統大選期間,在選舉前24小時內就發生顯著增加的網絡襲擊,」報告援引另一家網絡安全公司Trellix當時的一份報告表示,即便有這種形態,但針對當前美台國防工業會議的網路攻擊幕後的威脅歸因仍然無法認定,該公司目前還無法將這次攻擊的手法、技術和程序連結到任何已知的威脅行為體或「進階持續性威脅」(advanced persistent threat, APT)團體。
Trellix在2月13日的報告中說,針對台灣1月13日總統大選的惡意網路活動從1月11日偵測到的1758次增加到1月12日的4300多次,這是從2023年12月以來的最高點,但有趣的是,選舉當天這個數次就急劇下降到只有1000次多一點。
美台防務及軍工業長期受駭客攻擊
美台防務及軍工業人士一直都是中國駭客攻擊的對象。
2016年美台國防工業會議舉行前幾星期,美國網路安全專家就指出,中國駭客對參加會議的人士發動網路攻擊,目的是要取得連接其他網路系統的管道以擴大侵入範圍。
當時的網路攻擊手法是部分與會人士受到中文「釣魚」(phishing)郵件,在收件者開啟附件後網路入侵者即可取得密碼並出入連結系統的所有網路。網路安全專家透過駭客特定手法和中國特性,包括只有中國駭客團體才會使用的惡意軟體,判定駭客的身份與中國有關。
馬珞丹當時曾告訴美國之音,美台商業協會多年來都是駭客攻擊目標,對網路可能遭到駭客入侵一事一向提高警覺,因此在收到可疑電子郵件後即透過專家進行分析,並及時通知出席會議的與會者對駭客攻擊提高警覺。
閉門會議討論雙邊國防合作
美台國防工業會議是一個閉門會議,以往美台國防高層官員都會在會議上發表演說。自2002年首次舉行以來,今年已經是這個會議的第23屆。美台商業協會說,這次會議是美台之間針對未來雙方防務合作、國防採購程序、台灣防衛與國家安全需求等議題的一系列會議之一。
今年會議排定的議程,包括地區與全球針對當前台灣面對威脅的感知、對地區盟友應對威脅能力的評估、台海面對的灰色地帶威脅的局勢、台灣遏阻能力的需求,以及台灣如何面對潛在的封鎖或隔離、美國軍工業在這種變局中可以扮演的角色等。此外,會議也將討論2024年美國總統大選後對美台雙邊關係的影響。
@VOA中文網