太陽風駭客攻擊的啟示

美國資安公司FireEye於2020年12月13日宣稱它發現一起現在進行中的全球性駭客攻擊，已知受害者遍布北美、歐洲、亞洲、中東等區域，連FireEye 自己都被攻陷。此攻擊背後的駭客先入侵美國德州奧斯汀一間網路管理軟體公司太陽風 (SolarWinds) ，接著將它的後門軟體植入太陽風最新版的企業網管產品Orion，最後藉由Orion的自動軟體更新機制將此後門軟體散播至太陽風企業客戶的內部網路。

太陽風的275000企業客戶中，約有18000家從今年三月起陸續更新他們的Orion軟體。這些潛在受害者遍蓋超過四百家Fortune 500 公司 (如微軟) ，以及幾個重量級的美國政府單位，包括國防部、財政部、能源部、國土安全部、司法部、商務部等，連國家安全局都難以倖免。雖然沒有具體確鑿的證據，但從後門軟體的環境偵蒐及系統入侵手法，FireEye和情報部門初步判定執行此次攻擊的駭客應與俄國的國外情報局 (SVR)有關。由於此番駭客攻擊的受災範圍之廣、潛伏時間之長都屬史無前例，難怪伊利諾州參議員Dick Durbin氣得稱此一攻擊行動為對美國的實質宣戰 (virtually a declaration of war)。

雖然美國情報單位認為太陽風駭客攻擊的目的似乎是以收集情報為主，而非破壞企業資通系統功能，但只有徹底清洗掉此攻擊對受害企業IT系統的所有改變，才能完全解除它的威脅。然而，因為太陽風攻擊的潛伏期長達九個月，單單將Orion軟體卸載並不足以完全清除它的所有副作用。事實上，光是如何從主機與網路系統日誌中，爬梳出太陽風攻擊軟體對受害企業的網路、作業系統與應用在過去幾個月中作的所有更改，對絕大多數的受害單位而言，乃極大的挑戰。再加上COVID-19造成的協調不易與人手不足，更讓此任務難上加難。

太陽風資安事件證明了供應鏈攻擊(supply chain attack)的技術可行性及威力。攻擊者首先收集標的企業使用的所有軟體，再從這些軟體的供應商中找出資安防護較差的單位，然後入侵這些單位進而將惡意程式植入他們的軟體產品，最後藉由正常版本更新機制將惡意程式大搖大擺地送進標的企業。Orion不是軟體供應鏈攻擊第一個載體 ，也絕不會是最後一個。尤其，因為許多企業軟體廣泛採用開源程式碼，而開源程式碼的管理一般而言比商用軟體的管理來得寬鬆，所以專家預測開源程式極可能變成未來軟體供應鏈攻擊的主要載體。

美國的國安單位此時應已對軟體供應鏈攻擊開始設計亡羊補牢之道，包括對一級政府機關的軟體供應鏈清查其中是否暗藏尚未被偵測出的後門軟體，並評估甚至強化供應鏈上廠商的內部資安防護設施。台灣的國安單位有必要作類似的清查和評估，因為台灣一級政府機關的軟體供應鏈與美國一級政府機關的軟體供應鏈並不全然相同。此外，台積電、大立光、聯發科等高技術密集公司也應該對軟體供應鏈攻擊提高警覺並及早訂定因應措施，因為太陽風資安事件給我們最大的啟示是，一個不怎麼起眼的商業應用程式，如檔案格式轉換工具，就有可能暗藏洩漏價值連城know-how的後門程式, 進而演變成護國神山下的暗流。