商傳媒|方承業/綜合外電報導
美國機場、金融機構與軟體公司等關鍵基礎設施,持續面臨國家級駭客組織的威脅。SecurityWeek 近日報導,伊朗的進階持續性威脅(Advanced Persistent Threat,APT)組織,對美國機場、銀行及軟體公司發動網路攻擊。這項行動反映出,有國家背景的駭客正將目標鎖定在支援運輸、金融和科技生態系統的產業。
與發動立即性的破壞性攻擊不同,這些駭客行動通常側重於隱密滲透、長期潛伏和情報蒐集。報告指出,伊朗駭客結合網路釣魚與憑證入侵等技術,以取得目標網路的初始存取權限。一旦進入系統,攻擊者會試圖擴大其立足點,並採取常見的 APT 手法,包括:
- 收集憑證並提升權限
- 在內部系統間橫向移動
- 存取資料並蒐集情報
- 建立持續性連線,以維持長期存取權
透過緩慢行動並使用合法的管理工具,攻擊者可以在網路中長時間潛伏,而不會觸發明顯警報。運輸和金融部門的組織,由於儲存敏感的操作資料並管理支援關鍵國家基礎設施的系統,因此特別容易成為目標。
從監控的角度來看,APT 入侵期間執行的許多活動,都類似於正常的管理行為:身份驗證成功、使用經批准的工具、內部網路流量看似合法。由於攻擊者經常依賴有效的憑證和內建的系統工具,因此專注於惡意軟體檢測或基於特徵碼警報的傳統安全控制,通常無法檢測到早期入侵跡象。在機場或金融機構等複雜的企業環境中,數千個系統和身分不斷產生活動,橫向移動或權限提升的細微訊號很容易與正常操作混淆。等到發現可疑活動時,攻擊者可能已經存取了敏感系統。
這起事件突顯了國家級網路戰略的轉變。相較於發動立即性的破壞性攻擊,對手更傾向於在關鍵基礎設施環境中建立持續性的存取權。長期存取允許攻擊者:
- 監控營運系統和通訊
- 識別網路內的高價值資產
- 在潛在的地緣政治緊張局勢中,準備進行破壞
- 維持跨部門的情報能見度
對於運輸、金融和軟體開發等產業的組織而言,真正的風險不僅在於資料竊取,還在於對手可能在長時間內維持隱藏的存取權。要檢測此類活動,需要在身分、端點和網路流量上,進行持續的行為監控。
此事件也提醒台灣企業,應加強資安防護意識,定期檢視內部系統是否存在潛在漏洞,並導入適當的資安解決方案,以應對日益複雜的網路威脅。透過統一的可見性、行為分析和持續驗證,才能在攻擊者於關鍵系統中建立長期潛伏之前,及早偵測並控制 APT 行動。
