數位疫情氾濫‧無孔不入的駭客入侵

《華商世界雜誌第50期》

前言

本文為封面故事《全球供應鏈的黑天鵝》之【駭客篇】

美國一條汽油輸送「大動脈」遭網絡攻擊停運事件顯示，一種專業級且危險的駭客勒索威脅正在惡化、迅速蔓延並危及企業、學校、醫院和其他機構。正如美國前國土安全部最高網絡安全官員Chris Krebs在國會就勒索軟體作證時表示：「我們即將迎來一場全球數位疫情，推動這場疫情的是貪婪、一個脆弱的數位生態系統以及不斷擴大的犯罪產業。」網路犯罪跟著錢走，最肥的羊就是關鍵基礎建設。

本文

「過去一年，我有幸目睹台灣產業加速數位轉型；很不幸的，駭客轉型更快！」電腦防毒及網路安全公司—趨勢科技執行長暨共同創辦人陳怡樺在一場演講中，一語道破疫情下產業界正面臨的挑戰。

科技進步加速了工業製程，帶來高度生產效能，卻也衍生資安威脅。近年各國關鍵基礎設施接連遭駭客攻擊的事件屢見不鮮，隨著基礎建設的傳統封閉系統開始連上網路，駭客入侵管道大增，未來面臨的風險將會越來越高。

近年各國關鍵基礎建設頻遭攻擊，去年情況加劇，部分歸因於新冠疫情讓遠端線上作業情況增加。網路罪犯逐漸利用勒索軟體當作武器施壓機構，就連學校和醫院也不放過，勒索大筆金額解密網路。

Colonial Pipeline被駭客入侵，凸顯出美國能源基建脆弱性

美國最大油管營運商「殖民管線」（ C o l o n i a l Pipeline）於5月遭遇駭客入侵，導致系統癱瘓，影響美國約17個州的能源問題，美國更因此宣布進入國家緊急狀態。殖民管線是美國東岸近半燃油供應來源，駭客攻擊造成供油短缺並引發民眾搶購潮。殖民管線公司最後支付

440萬美元贖金，才恢復了線上系統。這是美國歷來擾亂範圍最廣的勒贖軟體攻擊事件。

這起攻擊凸顯美國關鍵基礎設施的脆弱性，此前美國政府已苦於應付多起疑似惡意軟體入侵的威脅。因此，拜登政府主張：美國的資訊基礎建設已出現落後破口，像是2020年底的Solar Winds控制系統遭俄國駭客入侵事件，以及這幾年美國的水壩、電力系統反覆遭駭的資安危機，都顯示美國聯邦政府必須要擴大預算，並將資訊安全與發展項目列為「重大基礎建設」重點投資。

專家指出，美國能源基建日益遭駭客攻擊，因此升級美國能源系統安全性，必須是拜登基建支出的關鍵目標之一。在拜登政府誓言處理駭客問題之際，這起攻擊也凸顯出美國能源基建的脆弱性，及拜登政府面臨的挑戰。

愛爾蘭健保系統淪陷，英國整年1.5萬起駭客攻擊

愛爾蘭的健保系統也在5月遭到駭客攻擊2次，還讓愛爾蘭的疫苗系統被迫暫時關閉。這是愛爾蘭經歷過最大規模的駭客攻擊，但目前愛爾蘭政府排除是間諜攻擊。愛爾蘭的公共醫療衛生系統可能需要花費數千萬歐元來修復遭到勒索軟體攻擊的技術系統。

根據《雅虎財經》報導，從去年2月到今年2月，光是英國就出現至少1.5萬起網路駭客攻擊（這還僅算有通報的），導致個人至少28萬英鎊的損失，受害者年紀大約在23％是20到29歲之間；而商家、慈善機構等更損失380萬英鎊。

PSS被駭影響，讓乘客個資全曝光

全球航空業知名的IT與電信服務供應商SITA（國際航空電訊集團）在今年3月坦承，旗下專門經營航空公司乘客處理系統的子公司Passenger Service System（PSS）遭到駭客入侵，而印度航空（Air India）直至5月才宣布自己是受害者，約有450萬名乘客的資料外洩。PSS主要提供各大航空公司的乘客處理服務，從到櫃臺報到至登機，亦支援生物辨識系統，估計每年有來自各大航空公司的10億名乘客使用PSS服務。

JBS遇駭，全球食品供應鏈面臨最新威脅

6月，全球最大肉類供應商JBS成為駭客攻擊的最新目標，JBS的北美和澳洲電腦網絡被迫關閉，部分工廠作業暫停，影響全美市場近25％的供應量。JBS是全球最大的肉品供應商，在15個國家擁有150多家工廠，主要客戶包括超市、麥當勞等速食店，美國4分之1的牛肉和5分之1的豬肉市占率，在澳洲的紅肉加工的市占也達4分之1。

總部設在聖保羅的JBS，全球20國有廠房，澳洲跟紐西蘭占4％營收，美國和加拿大分別占50％和3％。這是飽受疫情衝擊的全球食品供應鏈面臨的最新威脅。

但《彭博社》報導指出，JBS遇駭，面臨最大風險的將是中國。因為JBS有3分之1的出口都是中國市場。肉類市場分析師認為，這可能會進一步導致消費者價格上升，因為陸續解封，餐廳的需求增加，勞動市場又面臨缺工，「即使只中斷供貨一天，也會對牛肉市場和整體的肉價造成顯著的影響，」肉類食品顧問公司 Steiner Consulting Grou分析。

美國去年付出被駭贖款達3.5億美元

駭客組織使用勒索軟體侵入千百家公司、學校、政府機關，鎖住被害人的電腦及伺服器，如不付出贖金，不僅被竊的機密文件會被公布，整家公司可能關門完蛋；華盛頓郵報指出，這種犯罪行為不僅與錢有關，被害公司若與經濟息息相關。

勒索軟體大約十年前出現，但大舉用來犯案是近幾年的事。據電腦產業、官方及學術界60多名專家合組的「勒索軟體專案小組」（Ransomware Task Force）今年4月向拜登政府所提的81頁報告指出，2020年美國就有近2400家醫療設設、學校及政府機關遭遇勒索軟體攻擊，付出贖款達3億5000萬元，估計是2019年的三倍。

勒索軟體的進化，已成國安危機

華郵指出，黑暗面攻擊殖民油管公司只是冰山一角；駭客團夥使用勒索軟體的手法已經轉變，不僅鎖住被害人資料，還威脅公布，此伎倆通稱為「雙重勒索」，有些還用到「三重勒索」，也就是不付贖金的被害人就別想再取得上網服務，或用流量壓垮被害人的伺服器直到崩潰。

「線上威脅聯盟」（Cyber Threat Alliance）執行長丹尼爾（Michael Daniel）指出，勒索軟體已然演化，目前不僅危及經濟，還威脅到國安、公衛安全體系；目前受那種惡意軟體攻擊的有公司、學校系統及地方政府，平均贖金數十萬元，若是大型企業，贖金動輒數百萬元。被害人無能為力，最多只能洽商犯罪團夥，哀求降低贖金。

正如網路安全集團Tenable全球營運科技安全副總裁愛德華茲（Marty Edwards）說：「網路犯罪跟著錢走，最肥的羊就是關鍵基礎建設。」

遠端線上作業情況增加，駭客更易得手

此外，專家指出，此次美國管線遭駭事件可能與遠距辦公有關。受限於疫情，許多工程師需要在家中遠端維護系統，才會讓駭客有機可趁。資安專家表示，許多小企業因為遠距辦公而淪為網路勒索對象，儘管普遍規模不大，但因為案件層出不窮，若放任不管，恐積少成多，最終會對整體經濟造成嚴重影響。

由於新冠疫情讓遠端線上作業情況增加，使得針對電子部門的駭攻史無前例地增加；資安機構Check PointResearch數據顯示，駭客每周平均攻擊美國公用事業260次，3月以來平均每間公司遭受攻擊的機率增加50％，整體駭攻自2020年初攀升。

疫情期間，全球39％公司因遠端工作遭駭客攻擊

此外，日經新聞刊載「2020年Acronis網路準備度報告」指出，在新冠肺炎流行期，全球39％的公司因使用遠端連線程式進行工作或會議而遭到駭客攻擊。報導中也引述Cybersecurity Ventures的調查估計，到2021年網路犯罪將可能導致全球近6兆美元的損失。

而勒索軟體的危害也愈來愈嚴重。根據報導，去年丹麥的ISS公司遭駭客加密企業資料庫，導致60個國家數十萬員工無法連接公司的網路服務，花費約一個月時間修復，損失總額大約1億美元；美國跨國IT服務商Cognizant也遭到勒索軟體攻擊，約三周時間才逐漸重建；英國某城市市議會也被勒索，花了三周時間才恢復運作，在此期間只能使用筆和紙工作。

數位革命帶動IT和OT融合，也造成駭客攻擊風險急遽上升

 由於網絡犯罪分子加大了對擁有與操作控制系統相連軟體的公司的攻擊力度。發電廠、管道運輸商和煉油廠使用操作控制系統來運行物理設備，這些系統很容易受到網絡攻擊。

根據勤業眾信今年初發布之《2020科技趨勢報告》（2020 Tech Trends），工業物聯網（IIoT）雖對實現工業4.0有巨大的助益，數位革命帶動IT和OT持續融合，也造成遭駭客攻擊的風險急遽上升，各國在關鍵基礎設施的安全防護尚有進步空間外，也面臨著多重且不斷增長的數位

威脅，舉凡國家支持與網軍團體、內部人士與第三方、駭客主義者皆有可能導致關鍵服務被入侵或破壞的風險。

趨勢科技研究也顯示，過去以為不會被攻擊的生產線機台等OT（操作科技）設備，但因為與IT（資訊科技）連結，製造業正面臨前所未有的駭客攻擊。2020年10大勒索病毒家族都鎖定感染OT、工業控制系統（ICS） 為攻擊目標，科技製造業也成為駭客發動勒索病毒攻擊的受駭者。

市調機構Gartner預測，企業在2023年因為虛實整合系統（Cyber-Physical Systems，CPS） 遭受攻擊造成的財務損失將超過500億美元，企業受資安攻擊衍伸的相關賠償、訴訟、保險、監管罰款等損失將持續擴大，OT安全已成為製造業營運的一大挑戰。

美國網路安全公司帕羅奧圖（Palo Alto Networks）分析發現，從2015年到2019年，勒索軟體的最高需求為1500萬美元，2020年，這個金額增長至3000萬美元。犯罪集團鎖定大企業作為狩獵標的，成為所謂的「Big game」。

全球「數位疫情」的推升

美國前總統特朗普（Donald Trump）執政時期擔任國土安全部最高網絡安全官員的Chris Krebs在國會就勒索軟體作證時表示：「我們即將迎來一場全球數位疫情，推動這場疫情的是貪婪、一個脆弱的數位生態系統以及不斷擴大的犯罪產業。」

因此，美國司法部在今年4月成立一個特別工作組，目的就是遏制泛濫的軟體勒索行為，此舉反映出這種威脅有多嚴重。司法部計劃對支持網絡勒索攻擊的整個數位生態系統（包括罪犯如何依賴數位貨幣來收取受害者的贖金）採取行動，從而使網絡勒索不那麼有利可圖。

此外在交付贖金方面，易使用、加密因此難以追查的虛擬貨幣出現，解決了以往網路犯罪集團最傷腦筋的隱藏金流問題，除了盛行的比特幣（Bitcoin）之外，駭客也常要求以匿名隱私幣的XMR支付贖金，因為XMR無法追蹤交易，因此成為暗網常用的交易媒介。

如何降低被勒贖軟體攻擊的風險

安全研究人員表示，網絡攻擊的數量和規模都在上升，目前全美各地數以百萬計的人以遠程方式工作或上課，有時候人們會在沒有企業或機構安全保護的情況下打開網絡的後門。而最不容易受到影響的是那些對系統進行備份的企業，這樣它們就沒有支付贖金的壓力，但這樣做的前期成本可能很高。

資安分析師指出，許多勒贖軟體攻擊是從普遍的資安漏洞牟利。美國國土安全部旗下的網路安全及基礎設施安全局建議，企業應多管齊下預防被駭客勒贖，包括勤於更新軟體、定期修補安全漏洞等。

網路安全及基礎設施安全局執行助理主任戈德斯坦指出，適當備份資料，能使企業在被駭客勒贖後，無須駭客破解加密程式就恢復系統正常運作，「這是從勒贖軟體攻擊復原最有效的方法」。

倫敦警察廳也建議民眾提高密碼強度、啟動多重驗證，且不要亂點不明網址；如果無法登入自己的email或是社群帳號，請尋求該軟體的線上協助。總之，如果有收到可疑郵件要記得通報官方。

駭客已升級，盡快打造資安防護網

無論是政府、企業或民間單位，皆應具備洞察全球威脅趨勢的敏感度，於早期規劃時置入資安措施，對既有資安缺口進行全盤檢視，才能制定有效的防護策略。特別是關鍵基礎設施涉及民生重要活動，經常成為國家級駭客覬覦的目標，也因此大幅提高資安防護的困難程度。未來關鍵基礎設施業者與大型企業將面臨更高的資安風險。

(END)