作者： 趨勢科技 資深分析師 Rik Ferguson

日前 Google 遭到「極精密的鎖定目標攻擊」，此事件經過媒體大幅披露之後，至少有三國政府發出建議，呼籲人民改用 Microsoft Internet Explorer 以外的瀏覽器。至於 Google 的說法則是「相當不同」。

但這些說法有多少成分是真的、有根據而符合比例原則的？

趨勢科技 目前掌握的情況為何？根據 Google 的說法：「12 月中旬，我們的企業基礎架構偵測到一項極精密的鎖定目標攻擊，這項攻擊來自中國境內，企圖竊取 Google 的智慧財產」。他們接著指出：「在調查過程中，我們發現至少有其他 20 家不同類型的大企業都遭到類似攻擊，包括網際網路、科技、媒體與化工等產業在內。我們目前正在通知這些企業。」

後續的揣測、評論與分析都將矛頭指向 Internet Explorer 與 Acrobat Reader 當中未修補的漏洞，而所發現到的惡意程式包括 Hydraq 木馬程式變體以及新的惡意程式。其攻擊途徑分別為含有惡意 PDF 附件檔案的電子郵件以及強制下載。

遭到 Internet Explorer 零時差漏洞攻擊的 Google 表示至少有 20 家其他企業也同樣受害，另外，資訊安全廠商 iDefense 也有一些客戶遭到 Acrobat Reader 零時差漏洞攻擊，他們表示有 33 家企業受到影響。

一般認為，上述攻擊的動機有二：其一是要竊取智慧財產，其二是要試圖入侵中國人權支持者的電子郵件帳號。根據 Defense Group Inc 的情報研究分析中心 (Center for Intelligence Research and Analysis) 總監 James Mulvenon 的說法，這些攻擊當中「至少有六個看起來是來自台灣的網際網路位址 (這是中國駭客為了隱藏蹤跡而慣用的技倆)。」

這些足以「改變世界」嗎？我不這麼認為。

這些攻擊並不是率先利用零時差漏洞的攻擊，事實上，零時差攻擊通常會先用於一些鎖定目標的攻擊當中，後來才會受到廣泛採用。

此外，這些也並非首次利用強制下載技巧或惡意 PDF 附件檔案的攻擊。

這些攻擊也非目前所見最複雜的多重元件攻擊，想看看什麼叫做複雜嗎？看看 Koobface 就知道了。

這不是第一次有人提出警告要大家採用其他瀏覽器，不過只要修補程式一出來，就沒有人繼續理會。

這也不是第一次大家指責中國從事大規模分散式全球間諜活動。

這次的攻擊在方法上的確精密，這一點無庸置疑。歹徒確實成功將惡意程式感染其鎖定的對象與企業，並且可能存取到原始碼或電子郵件帳號，但我看不出有什麼足以改變世界之處。

社交工程技巧的進步、一般人對威脅情勢缺乏認知、資訊分享過度泛濫、地下經濟體系的成熟，這些都是上述攻擊能夠得逞的原因。

那麼，企業與個人應該如何避免遭到這類的攻擊？

• 教育您自己和您的使用者：光是點選一個連結、開啟一個 PDF 檔案，就足以讓您遭到感染，即使系統已安裝了最新的修補程式也無法完全免疫。

• 僅管如此，您還是要確定系統及所有應用程式都安裝到最新的修補程式，如果做不到這點，那就用主機式入侵預防系統來「亡羊補牢」，防止零時差漏洞攻擊。

• 當出現未修補的漏洞時，請務必遵照廠商的建議，盡可能將風險降至最低。