(淡江大學國際事務與戰略研究所博士生 黃予璿)
2025年7月,中共駭客組織利用SharePoint Server的零時差漏洞,侵擾多國政府機關、電信業及金融業,並植入惡意程式至400臺伺服器,危及全球共148個單位。值得注意的是,駭客組織曾試圖入侵美國「國家核安全管理局」(National Nuclear Security Administration, NNSA)系統,亦企圖滲透美國能源部轄下的「費米國家加速器實驗室」(Fermi National Accelerator Laboratory, FNAL)。基於美國國家實驗室大多透過「能源科學網」(Energy Sciences Network, ESnet)互相分享實驗數據,倘若中共駭客組織經由該高速網路取得核技術,有機會對國際安全構成重大威脅。本文旨在研析針對美國關鍵基礎設施之中共駭客組織,探討其與中共國家安全部之協作關係,進一步推斷後續的網路間諜行動。
依據微軟撰寫的部落格文章,SharePoint漏洞被三個中共駭客組織運用,分別為:異名APT27的「亞麻颱風」(Linen Typhoon)、別名APT31的「紫羅蘭颱風」(Violet Typhoon)以及「風暴之2603」(Storm-2603)。由於三者的攻擊目標不盡相同,可藉由分析受害機構態樣,推測試圖潛伏至「能源科學網」之駭客組織。美國司法部起訴書點出「亞麻颱風」與中共國安部、公安部關係密切,遵循中共的指示襲擊多國財政部、地方政府、外交機構及大型宗教組織。「紫羅蘭颱風」隸屬於湖北省國家安全廳,主要攻擊美國國防工業、資通訊產業、電信產業、能源產業以及金融產業。「風暴之2603」多以散布「Warlock」勒索軟體到網路環境,具體駭侵目標尚不明確。綜上所述,足以推測企圖侵入「能源科學網」,且擴大存取資料範圍的駭客組織為「紫羅蘭颱風」。
從「紫羅蘭颱風」之網路間諜行動,能窺視駭客組織與中共國安部的合作網絡。中共為管控境內安全漏洞的揭露、通報及修補機制,於2021年7月13日頒布《網路產品安全漏洞管理規定》,要求發掘安全漏洞人士須於2日內通報至工業和信息化部旗下之「網路安全威脅和漏洞資訊共享平臺」,同時不得把相關情資提供予境外組織或個人。中共主責安全漏洞管理的政府機關為「中國資訊安全測評中心」(China Information Technology Security Evaluation Center, CNITSEC),此中心實際上為國安部第十三局之掩護機構。並且利用轄屬的「國家資訊安全漏洞庫」(CNNVD),不僅竄改「高風險安全漏洞」(Common Vulnerabilities and Exposures, CVE)披露日期,也向駭客組織提供「概念驗證攻擊程式」(Proof of Concept, PoC)。
「國家資訊安全漏洞庫」的技術支持單位,例如北京安天網路安全技術、北京啟明星辰資訊安全技術、北京神州綠盟科技、北京賽博崑崙科技以及騰訊雲端運算等資訊安全公司,亦為「微軟主動保護計畫」(Microsoft Active Protections Program, MAPP)之合作夥伴。駭客組織有機會借助這途徑,預先獲得尚未公開之零時差漏洞。由此可見,中共借助國安部第13局統轄的「中國資訊安全測評中心」與「國家資訊安全漏洞庫」,協調國內資安公司與駭客組織,共享未被使用的安全漏洞跟概念驗證攻擊程式,經此執行「軍民融合戰略」下的網路間諜行動。
值得注意的是「亞麻颱風」、「紫羅蘭颱風」、「風暴之2603」皆受國安部第13局統籌,分享「PlugX」、「GrewApacha」、「PlugY」等惡意程式給同一體系的駭客組織,好比是「野馬熊貓」(Mustang Panda)。據此得以推估,自2022年起,國安部即策動面向俄羅斯之網路間諜行動,目標包含俄羅斯的政府機關、資通訊產業還有駐紮於西伯利亞的邊防軍,持續收集俄羅斯的政治、科技及軍事情報,更甚是拓展北極地區的情報活動。總而言之,國安部第13局開展的合作網絡,已對美國、俄羅斯之國家安全造成莫大影響,更被俄羅斯聯邦安全局(Federal Security Bureau, FSB)猜忌。後續可觀察兩大層面:一者是俄羅斯聯邦安全局針對國安部13局的反情報作為。另者為美國司法部通緝中共駭客組織內部人士的嚇阻能力。
