美國財政部制裁中國駭客及網路公司

2025年1月17日，美國財政部外國資產管制辦公室（OFAC）宣佈對一名上海駭客尹可成（Yin Kecheng）和一家位於四川的網路安全公司“四川聚信和網路技術有限公司”實施制裁。

尹可成（Yin Kecheng）

• 背景：尹可成，中文簡寫為尹可成，出生於1986年12月8日，籍貫為中國安徽省。
• 身份：被美國財政部認定為一名「網路攻擊者」，並且與中國國家安全部（MSS）有關聯。
• 活動：尹可成從事網路攻擊活動超過十年，並參與了最近美國財政部網路遭入侵事件。據信，他參與了最近美國財政部部門辦公室網路的入侵事件，並獲取了包括即將離任的財長耶倫等官員使用的數百臺電腦上的數千份檔案。
• 制裁原因：美國財政部根據第13694號行政命令，以及新的《加強和促進國家網路安全創新行政命令》對尹可成進行制裁，理由是其直接或間接參與了未經授權訪問美國個人、美國、美國盟友或合作夥伴的電腦或網路，且其行為對美國國家安全、外交政策、經濟健康或金融穩定構成重大威脅。

四川聚信和網路技術有限公司（Sichuan Juxinhe Network Technology Co., LTD.）

• 背景：公司成立於2014年5月23日，位於中國四川省德陽市。
• 業務：是一家網路安全公司，主要經營範圍包括軟體開發、網路技術服務、網路資訊諮詢服務、計算機租賃服務、網站設計與開發、計算機網路工程等。
• 關聯：美國財政部指出，該公司與中國國家安全部（MSS）保持密切聯系。
• 活動：直接參與了“鹽颱風”（Salt Typhoon）網路攻擊行動，該行動攻擊了多家美國電信公司和網際網路服務提供商的網路基礎設施。
• 制裁原因：美國財政部根據第13694號行政命令，以及新的《加強和促進國家網路安全創新行政命令》對四川聚信和進行制裁，理由是其直接或間接參與了源自美國境外的網路活動，這些活動對美國國家安全、外交政策、經濟健康或金融穩定構成威脅，且其目的或效果損害或以其他方式破壞關鍵基礎設施部門中一個或多個實體提供的服務。

美國財政部的制裁手段

• 資產凍結：所有在美國境內或由美國人擁有或控制的被制裁個人的財產和財產權益均被凍結，必須向OFAC報告。
• 交易禁止：除非獲得OFAC頒發的通用或特定許可，否則美國人或在美國境內（或過境）的任何交易，如果涉及被制裁或以其他方式被凍結的人的任何財產或財產權益，通常是被禁止的。
• 關聯實體：任何直接或間接由一個或多個被制裁人單獨或合計擁有50%或以上的實體也被凍結。

中國政府資助的駭客組織及攻擊手法

中國政府資助的駭客組織（通常被稱為APT，即“高階持續性威脅”）經常使用多種攻擊手法，針對政府機構、企業、學術機構及異議人士。

慣用攻擊手法

• 網路釣魚（ Phishing）：通過精心設計的惡意電子郵件誘導目標點選惡意連結或下載附件，從而植入惡意軟體，通常針對安全防範能力不足的商業組織和異議人士，規模極大但成效顯著，最近Google給所有企業組織發郵件聲稱通過增強型安全功能檢測到14.9萬封釣魚郵件。針對Line、Telgegram、Whatsapp的釣魚攻擊也長期存在。
• 供應鏈攻擊（Supply Chain Attack）：通過入侵軟體供應商或硬體制造商來植入惡意程式，影響其客戶。例如，通過入侵ERP系統或遠端桌面軟體傳播惡意程式，從而對商業組織展開攻擊。
• 零日漏洞攻擊（Zero-Day Exploits）：駭客組織具有前沿資安研究能力，利用未公開或未修補的軟體漏洞來發動攻擊，通常流入政府組織對高價值目標實施攻擊。
• APT（高階持續性滲透攻擊）：長期收集相關資訊，持續採用各種方法嘗試滲透受害者系統，竊取機密資料或進行間諜活動，具有隱蔽性，不易被發現。
• 針對邊緣裝置漏洞： 攻擊小型路由器、郵件、防火牆等邊緣裝置，以此為跳板入侵目標系統。
• 雲端與SaaS攻擊：攻擊雲端服務，獲取敏感資訊，例如利用OAuth許可權濫用訪問雲端資料。
• 社交工程（Social Engineering）：偽裝成可信賴的機構如供應商或客服，誘騙受害者提供敏感資訊或憑證。
• 後門與木馬（Backdoors & Trojans）：通過惡意軟體在受害者系統植入後門，允許持續遠端訪問。
• 網路針對性滲透（Watering Hole Attack）：入侵特定網站，並植入惡意程式碼，當目標使用者訪問時被感染。
• DNS 劫持：通過劫持DNS解析，將使用者導向惡意網站或監控網路流量，台灣最近 edu.tw 的域名就被廣泛攻擊，用於傳播電信詐騙內容。
• 與 BGP 劫持 105年韩国部署萨德反导弹系统引起中國抗議。同時中國電信自105年2月起，連續6個月將加拿大到韓國政府網站的路由劫持至中國大陸。BGP劫持的網絡流量中未加密的通信內容會被嗅探和記錄。
• 勒索軟體（Ransomware）：一些中國駭客組織也開始使用勒索軟體來掩蓋其間諜活動，或直接以此獲利。
• 非法代理伺服器 ORB 網路：為了避免被追蹤，中國駭客開始使用 ORB 網路隱藏連線行蹤。
• 一帶一路電詐園區 媒體報道，電詐園區受中共國安支持，由中國電信公司供應電話卡，這些都是中共資助的網絡攻擊。

中國情報機構的合作模式

中國政府資助的駭客組織通常與特定的網路安全公司、情報單位或軍方機構有關聯。這些合作模式主要包括：

1. 情報機構直接控制的駭客部隊：情報機構內部直接設立專業駭客部隊，例如解放軍61398部隊。
2. 與國內網路安全公司合作：情報機構與中國的“網路安全公司”合作，例如i-Soon（安洵科技）和成都404（長揚科技），這些公司提供攻擊技術、滲透工具和人員支援，並承接政府委託的“專案”。
3. 與學術機構合作：情報機構與大學或研究所合作，以“學術研究”為掩護，發展駭客技術與漏洞挖掘。
4. 招募自由職業駭客與犯罪組織：情報機構會利用網路犯罪組織或個人駭客來執行特定任務，並通過金錢或減刑來換取其服務.
5. 國營企業提供基礎設施支援：國營企業提供雲端伺服器、VPN、資料中心等基礎設施，讓駭客活動更難追蹤。
6. 軍民融合政策：政府資助駭客教育與競賽，培養駭客人才，如【天府杯國際網絡安全大賽】競賽。

近四年重要的中國網路駭客事件

1. 2024年：攻擊臺灣軍工與衛星產業：中國駭客針對臺灣的軍工和衛星產業發動攻擊，特別是無人家制造廠，並通過供應鏈攻擊滲透目標組織。
2. 2023年：Salt Typhoon攻擊美國電信業：美國多家電信公司遭到“鹽颱風”組織滲透，目的是竊取通訊資料，可能涉及監聽民眾和政府高層。
3. 2022年：攻擊臺灣電信業：臺灣的電信業遭受大規模攻擊，攻擊次數較前一年增加了650%，旨在竊取通訊資料和監控政府活動.
4. 2021年：Microsoft Exchange伺服器漏洞攻擊：一個名為“Hafnium”的中國駭客組織利用Microsoft Exchange伺服器漏洞，對全球數萬臺伺服器進行攻擊，竊取電子郵件和其他敏感資訊.
5. 美國財政部網路遭入侵事件: 尹克成參與了最近美國財政部網路遭入侵事件，並獲取了包括即將離任的財長耶倫等官員使用的數百臺電腦上的數千份檔案。

中國駭客組織發展現況

• 攻擊手法多樣化：中國駭客組織採用多種攻擊手法，包括供應鏈攻擊、利用邊緣裝置漏洞、社交工程和網路釣魚等。
• 針對邊緣裝置：駭客組織主要利用網路邊緣裝置（如防火牆、VPN和負載平衡器）的已知漏洞進行初步存取。
• 目標廣泛：攻擊物件涵蓋政府機構、電信業、軍事工業、衛星產業、教育機構和科技公司。

中國駭客組織主要攻擊的國家與物件

• 美國：美國政府機構、關鍵基礎設施、電信公司等一直是主要目標。
• 臺灣：臺灣的政府機關、軍工產業、衛星產業、電信業等遭受攻擊。
• 其他國家：韓國、加拿大、日本等國家的企業和機構也曾遭受中國駭客組織的攻擊。
• 關鍵基礎設施：包括電信、能源、金融等領域的關鍵基礎設施。
• 通訊行業：包括電訊公司和網路服務提供商。
• 軍工和衛星產業：尤其是無人機制造商和相關技術企業.

總結而言，中國政府資助的駭客組織在技術和策略上不斷演進，攻擊範圍廣泛，對全球各地的關鍵產業和機構構成嚴峻的網路安全威脅。美國財政部的制裁行動旨在遏制這些惡意活動，並追究相關人員和公司的責任。台灣政府也應該加強資安研究，鼓勵民間研究者作出更積極的貢獻。