2020年被公認為充滿混亂與災禍的一年。各式各樣的大事件諸如新冠肺炎、中亞東歐台海等地的地緣政治衝突、英國脫歐、美國總統大選都將世界各地的人們帶向跟過去截然不同的生活。TeamT5 在過去一年中持續幫助受到國家力量支持的針對性攻擊行動 (或稱APT攻擊) 所受害的單位。同時間TeamT5的威脅情資團隊也主動追蹤APT攻擊者的各類行蹤。跟真實世界相比較，網路世界的混亂情況並不亞於我們於現實世界所見，同時網路世界的衝突有很大一部份是真實世界的映射或延伸。本篇文章將探討TeamT5在2020年所觀察到的台灣威脅態勢。

在本篇文章中，我們首先會為你介紹我們在2020年所觀察到的重大趨勢，包含了:

• APT攻擊的演進，網路間諜不再是惟一的攻擊手段
• 供應鏈攻擊成為2020年APT攻擊的主要攻擊方式之一
• 由新冠肺炎所引發的網路攻擊

接著我們會針對所觀察到的攻擊行動進行分析，試圖以產業別以及攻擊族群視角來進行網路威脅情資的剖析。文章的最後則是我們對如何應對網路攻擊不斷變化的建議作為總結。

2020年所公開的網路攻擊中，影響最深遠的當數中國APT攻擊者於五月時針對多個能源產業公司所進行的勒索軟體攻擊。TeamT5研究顯示這是一個來自中國惡名昭彰的APT攻擊族群，規畫已久的攻擊行動。這個行動究竟是攻擊者單純以獲取金錢為目的所發起的勒索行動，抑或是以勒索軟體為掩護的政治嚇阻行動(時值5/20台灣總統上任前) ，背後的答案依舊成謎。無論如何，本次的攻擊行為已為中國對台APT攻擊行動劃下新的里程碑：中國APT已針對台灣進行二十年以上的攻擊但行動範圍都維持在竊取機密為目的而進行網路間諜行動，這次攻擊意味著攻擊者將開始採用更多元的戰術來對台灣進行網路打擊行動。

另一個發生在PTT BBS 論壇上的攻擊行動可以佐證我們的臆測：在2020年七月，TeamT5追蹤了一連串的BBS爆料貼文，試圖詆毀台灣政府與軍方的形象，攻擊者使用了多個境外跳板IP位址來試圖隱藏他們的來源，然而TeamT5的情資資料庫顯示其中一個來源IP曾被某個鎖定台灣已久的APT攻擊族群所使用；無獨有偶，我們也獲得某訊息來源指出該APT族群正是隱身在此次行動背後的攻擊者。我們相信這兩個事件正是一個警訊，告訴我們中國APT族群正在嘗試各種過去沒使用過的手法來作更多樣性的攻擊行動。

TeamT5曾在過去示警過供應鏈攻擊手法的危險性 [2] ，研究顯示它在2020 年已經成為APT攻擊一種主要入侵手法之一：2020年12月被揭露的SolarWinds/SUNBURST 攻擊行動無疑是當前最成功的案例之一，受害目標包含了許多美國高層政府部門，全球前五百大公司，甚至數個資安廠商本身也在本次攻擊中被攻擊者攻陷，它的手法精細而行動縝密以致於目前仍無法掌握整個攻擊全貌。在台灣，TeamT5也觀察到至少三波的攻擊行動使用了類似的手法：攻擊者先針對服務供應商進行滲透，再進一步利用供應商的產品或服務當跳板來直接進入終端用戶，包含政府部門或其他各產業的公司。前兩波的攻擊行動已於八月間被法務部調查局所公開揭露 [3]，而第三波攻擊行動仍在調查中。我們目前已觀察到數十家甚至上百的台灣公私單位被這些行動所成功滲透，而且至少有三個來自中國的APT族群參與其中。

第三個攻擊趨勢則為新冠肺炎所趨使的網路攻擊行動。隨著新冠肺炎疫情爆發數週內，TeamT5就觀察到有國家支持的網路攻擊者開始疫情相關的情報蒐集；隨著時序進入下半年，攻擊者的目標開始轉向疫苗發展資訊的蒐集，可以看出網路攻擊行動隨著現實世界改變的趨勢。在台灣，TeamT5也分析了數個以新冠疫情為主題所進行的攻擊行動，甚至有數波針對醫療相關部門的針對性攻擊行動。我們相信只要疫情尚未消散的一天，相關的攻擊行動就會持續進行。

TeamT5 威脅情資團隊在2020 年分析了近百個來自中國的APT攻擊。統計結果顯示，政府和軍方部門仍為最大的攻擊目標，相對應的攻擊事件超過了總數的1/4，幾乎每個在台灣地區有活動的APT族群都會嘗試攻擊相關部門，主要的原因在於APT的主要目標是獲取國家相關的機密情資。值得注意的是，針對資訊產業的攻擊在2020年躍升為第二大，顯示APT攻擊對資訊公司的高度興趣，主要的原因應與前述的供應鏈攻擊趨勢有關：這些資訊產業公司往往同時服務許多客戶並橫跨不同部門產業，攻陷這些資訊公司提供攻擊者一個絕佳的跳板來進一步滲透終端客戶。能源產業是2020年被針對的第三大產業，TeamT5觀察到至少有5個族群針對能源產業鏈中的多個部門進行滲透，我們認為這是一個徵兆顯示敵人試圖控制台灣關鍵基礎設施的野心，因為這些部門在戰爭時期將會成為優先被癱瘓的目標。教育和智庫單位長久以來也名列APT攻擊目標排行榜中，相對應的攻擊數量在2020年位居第四名，主要的原因在於這些單位中的研究人員往往參與了政府的研究計畫或是政策制定。半導體產業是我們觀察到第五大被針對的目標，由於中國官方將半導體明定為十三五和十四五計畫中重點扶植的產業，這些攻擊應為有計劃性的網路間諜活動，目的在於竊取台灣相關的智慧財權或產業機密。醫療和運輸產業也是兩個在2020年被中國APT重點性針對的目標產業，如同前述，我們相信新冠肺炎可能是一個趨使攻擊者針對醫療產業的主要因素；交通相關產業部份，TeamT5觀察到一個值得注意的現象：有一個我們稱為GouShe (亦稱為TroppicTropper, Keyboy)的APT族群特別針對台灣的交通運輸相關部門進行滲透， 2020年間的相關攻擊事件有七成以上均來自該族群。

TeamT5 於2020年間共追蹤了至少9個APT族群的攻擊行動，當中有8個是來自中國。HUAPI (亦稱為BlackTech, PLEAD) 是所有族群中最具野心的一群，他們的攻擊行動佔了我們所觀察到總數近三成，而且攻擊目標幾乎涵蓋了上述的所有產業。我們在前面所提到的台灣供應鏈攻擊行動他們也都有參與。APT27 (亦稱 EmissaryPanda, IronTiger, LuckyMouse, BronzeUnion), GouShe 和 AMOEBA (亦稱 APT41, Barium, Winnti) 也是在2020年攻擊台灣的數個主要攻擊來源族群：據TeamT5研究，APT27 主要攻擊政府、醫療和金融相關單位和產業. GouShe 近一兩年的攻擊行動，展現了針對交通運輸部門和產業的高度興趣，同時我們也在能源和政府單位觀察到他們的蹤跡，TeamT5針對此族群追蹤了近十年，研究結果顯示該族群可能接受所屬單位指令來監控台灣的關鍵基礎設施，並可能在關鍵時刻針對這些單位進行控制和接管。AMOEBA在過去一年間主要攻擊目標包含了能源、半導體產業，教育智庫單位和資訊產業，從攻擊目標推斷，他們的主要目的偏向於智財和產業機密竊取，但我們不排除攻擊者會嘗試利用攻擊獲取成果進行二次利用，如同他們在五月間所進行的勒索攻擊行動一樣。SLIME1、SLIME9、 SLIME13 是TeamT5對三個中國APT攻擊行動的暫時行動代稱，我們在近幾年都有持續觀察到他們的行動。Polaris (亦稱 MustangPanda) 則是一個針對幾乎中國鄰近國家的APT族群，我們在三四月間發現有多個來自他們的釣魚信件針對台灣政府和研究單位進行攻擊，我們推測他們試圖蒐集新冠肺炎相關疫情資訊。最後，我們在台灣也有發現一個由北韓APT族群Lazarus所使用的Linux後門工具，但沒有進一步資訊可以確認受害者身份資訊，雖然台灣在政治上並非北韓APT的主要攻擊目標，但由於Lazarus 族群被公認肩負為北韓政府籌措財源的責任，舉例來說，2017年發生在台灣銀行的SWIFT系統攻擊事件就是由Lazarus所為，此樣本也許是一個顯示Lazarus仍持續在台灣地區有活動跡象的警訊。

TeamT5相信認識敵人是有效對抗針對性攻擊的第一步，而本文章主要針對2020年間所觀察到的APT網路攻擊態勢，提供一個概觀說明。TeamT5威脅情資研究顯示APT攻擊手法持續進化，真正高端複雜的行動已經不可能由單一個資安產品作有效的防護。TeamT5有一個以網路威脅情資為核心概念的防護方案，同時我們有一群專業的專家分析師持續作研究來讓我們持續領先於攻擊者的腳步。如果你希望進一步了解我們的資安產品、解決方案或是想跟我們討論你所面臨的網路威脅，我們誠摯歡迎你與我們聯絡。 

[1] https://www.ithome.com.tw/news/139331

[2] https://www.slideshare.net/codeblue_jp/cb19-resistance-is-futilethe-undefendable-supplychain-attack-by-sungting-tsai-linda-kuo

[3] https://www.youtube.com/watch?v=1KXb-sf_wos

[4] https://www.reuters.com/article/us-cyber-heist-north-korea-taiwan-idUSKBN1CL2VO