撰文 / 數聯資安編輯部

回顧2020，充滿嚴峻考驗，在現實世界存在著COVID-19新冠病毒的生命威脅，而在數位世界，則有勒索病毒的資安威脅。因應勒索軟體之餘，我們也要注意此種威脅的發動，近期經常與目標式攻擊（Targeted Attacks）有關。事實上，目標式攻擊此一名詞常出現於APT事件，隨著攻擊威脅提升，「目標」已從指定的組織單位，更進一步去針對指定的產業、系統，以及供應鏈，而且，目標型態的轉變，與逐年增長的勒索攻擊及黑色產業都有關。

而且從國外調查發現：駭客勒索攻擊對企業組織造成的經濟損失比贖金更大──全球於2019年因勒索攻擊的損失，高達2兆美元。

就目標式攻擊趨勢而言，從金融證券業遭DDoS勒索攻擊、醫療單位的醫療工作系統加密勒索、教育學校的行政系統勒索，到2020年針對製造業發動攻擊，我們可發現犯罪者確實存在更精準有效率的目標式攻擊，別於過往隨機式攻擊（Opportunistic Attacks）。

以去年國內幾起資安事件為例，網路犯罪者都是有計畫，且連續針對目標下手，從受駭的石油公司、自動化設備業者、半導體業者、電子製造業者等案例，都存在著一旦受駭則產線運作停擺的風險衝擊，而這就是犯罪者看準製造業不可承受的威脅痛點，因為產線運作的停擺，將造成無法正常生產、排程受阻、交貨延遲、設備受損等連串問題。

此外，犯罪者常以點放曝光受害業者的內部資料來證明綁架成功，逼迫受害業者就範，甚至有二次勒索的打算。

事實上，不僅這些見報的大型製造業者遭受勒索，有更多的相關產業中小型企業也在同期間受到相同的威脅，在他們負擔得起的情況下，往往選擇支付贖金來盡快恢復工作以息事寧人解決。

目標式攻擊下一波鎖定：供應鏈

近來便有相關各界呼籲：「供應鏈攻擊（Supply Chain Attacks）的資安風暴已到臨」，尤其最近的SolarWinds供應鏈攻擊事件，不僅導致國際知名的APT資安防護大廠受駭，甚至多個美國政府機構及全球多家資安科技公司，也傳出存在SolarWinds後門木馬的疑慮；隨後有駭客組織，開始進行目標式攻擊（開採漏洞），直至目前仍未平息。整體而言，SolarWinds攻擊行動，躲過美國政府斥資數百億美元建造的網路攻擊防禦系統Einstein，而這也突顯：供應鏈攻擊引發的鏈狀連鎖反應，具備更大破壞力。

由於供應鏈攻擊是針對存在的脆弱環節為攻擊目標，以2020年8月發生的Zerologon攻擊為例，利用CVE-2020-1472漏洞，可以讓駭客以Windows Netlogon 遠端協定，取得Windows Active Directory DC主機完全控制，且能任意將惡意程式安裝到網域下的所有裝置；更有駭客組織結合Fortinet、MobileIron等網路安全閘道或VPN的漏洞來進行連續技。試問：這樣甜美的目標，又怎能不讓有心人士蠢蠢欲動，進而大量開採呢?!

2021年初爆發的ProxyLogon攻擊，目標則轉換到微軟Exchange Server漏洞，又發生一連串的駭客組織釋出攻擊包，以植入惡意Web Shell。針對供應鏈資安發動的目標式攻擊，具備3個特色：可利用性更佳、可下手的目標對象更多、可組合攻擊技更豐富，這對各方供應商來說都並非好消息。

▲ 針對供應鏈安全（Supply Chain Cybersecurity），美國密歇根州立大學教授Steven A. Melnyk提出幾個關鍵問題。首先是「要保護什麼」，第二是「針對哪種類型的攻擊」，第三則是「考慮哪些網路安全投資」。 圖片來源／SupplyChain247