黑客来去十年多 又与藏人再相逢 | 德国之声 来自德国 介绍德国 | DW | 18.10.2018
  1. Inhalt
  2. Navigation
  3. Weitere Inhalte
  4. Metanavigation
  5. Suche
  6. Choose from 30 Languages
广告

时政风云

黑客来去十年多 又与藏人再相逢

今年八月,加拿大多伦多大学研究室Citizen Lab又再次公布资安报告,取名为「似曾相识」。报告中揭露了最新的黑客攻击与过去的行动如何牵连。十年过去,针对藏人的黑客攻击就算变形,却从未停止。德国之声采访到研究室的主任以及资安专家为读者整体回顾。

Nepal Losarfest Tibetanisches Neujahr (Reuters/N. Chitrakar)

在尼泊尔的藏人在年节跳着传统面具舞

(德国之声中文网)2018年,藏人非政府组织、记者、藏人行政中央纷纷收到电子邮件。

寄件人是tibetanparliament@yahoo.com,意思是藏人国会。 内容是分享文化活动、倡议行动或是政府公告,邮件附带一份Microsoft PowerPoint 档案。

如果是流亡藏人,看到这样的邮件地址就很可能会点开。 如此一来,就踏进了黑客设下的圈套。

黑客利用社群网站上搜集来的公开信息,或是过去窃取来的内部消息做成信件内容,博取用户的信任。 用户下载附件之后,可以正常的阅览文件内容,丝豪察觉不出异状。 但是事实上,「后门程序」已经暗地启动,不但让黑客窃取数据,也为黑客日后的攻击打开一个通道,让他绕过一般的安全性凭证,取得数据,甚至实时远端控制。

但长期追踪资安问题的加拿大多伦多大学研究室Citizen Lab对这种手法并不陌生。

例如经典案例2009年的「鬼网」,便是一宗大规模网络攻击案件,庞大而手法缜密:至少1,295人受害,扩及103个国家。 当中,外交单位、新闻媒体、非政府组织等「高价值的目标」占比高达三成,流亡藏人与达赖喇嘛私人办公室也包含在内。

Indien Dalai Lama & Nancy Pelosi, USA (Reuters/D. Busvine)

达赖喇嘛的私人办公室也曾经遭到黑客入侵。传闻这与他的出访行程多次遭到取消有关。

Citizen Lab从开发者数据库有关的信息(PDB)发现2018年的行动与2013年的「钥匙男孩」(KeyBoy)以及2015年的「热带骑兵」(Tropic Trooper) 很可能系出同源。 另外,该行动发送恶意文件的电子信箱,与2016年名为「国会行动」的攻击当中所使用的信箱是同一个。

这也就是说,以年份排序,2013钥匙男孩发动,2015改名为热带骑兵,2016转型为国会行动,2018又改造并以新型态现身。 所有网络攻击都是源自同一个系统。

「恶意程式瞄准流亡藏人进行攻击,已经超过十年。 」Citizen Lab 的研究室主任Masashi Nishihata告诉德国之声:「这种行动和一般商业性的信息犯罪不同,它不是要取得财务上的利益。 背后驱使他的是政治动机。 目标是要监视社群的活动、联络、以及动员情况。 」

「这些行动不只是造成知识产权或是财务上的损失,而是直接影响到个人、家属甚至整个社群的人身安全。 」

Nishihata 表示,用电子邮件传送挟带恶意软件的档案曾经是黑客攻击最常见的手法。 但是,从2016年开始,他们观察到攻击手法开始有所转变:恶意软件逐渐减少,更多的使用「钓鱼网页」。

「钓鱼网页」是黑客仿造知名网站的页面,引诱用户在假网页上输入账户密码,藉此窃取个人资料。 「西藏人,以及大部分的社运人士,跟我们大多数人一样,依赖一般的商用平台进行沟通联络。 」Nishihata 说,「这种手法比设计一个恶意软件便宜,而且一样可以取得重要信息,足以扼杀社会运动或是造成实质伤害。」

幕后主使

假如每次的事件都是一个点,多次揭露形成一个面,那么布置这个天罗地网的,究竟是谁?

想要找到幕后主使,第一个方法是直接分析恶意软件的程序代码,寻找与开发者有关的信息。

2009年「鬼网」中,攻击者的域名大多注册在同一个人名下,而且位在中国(cn)。 近一步跟着木马程序沿线寻找控制端的IP地址,在中国海南。

到了2016年的「国会行动」虽然改变了写法,让研究人员没办法在程序代码中找到像「鬼网」那样的域名,然而,还是找得到核心的控制端服务器(C&C 服务器)位在中国。

但是,就算这些线索指向中国,这两种方法都没办法断定「中国」就是幕后主使。

CTA Tenzin (DW)

Fedora Organization的资安专家Tenzin Chokden说,现在藏人的危机意识有逐渐提高

「技术上,幕后主使的地点非常难追踪。 举例来说,发动攻击的计算机可能位于台湾,但是他取得数据之后,可以把数据送到任何一个国家,可能是香港,可能是美国。 」Fedora Project 的信息专家Tenzin Chokden 接受德国之声访问表示:「IP地址的地点没有办法代表幕后主使的地点。 」

那么,不同行动的受害者是否具有共通点? 能不能从受害者反推犯案动机,进而找到谁有嫌疑?

主导研究的Nishihata表示,综合多次调查,可以发现黑客感兴趣的目标不只是藏人族群,而是更广的群体。 不同群体之间的共通点,就是他们若被攻击,中国都可以从中获得政治利益:维吾尔族、法轮功信徒、西藏人,或是东南亚或南亚的政府机关。

但是Nishihata拒绝明指幕后是谁:「除了受害者之间的共通点之外,幕后主使如何挑选目标并不清楚。 行动是否有特定人士赞助、数据最终由谁接收,也没有办法确定。 」

Indien - Der Dalai Lama besucht Arunachal Pradesh (Prabhakar Mani)

像流亡藏人这种弱势族群,很少为数位软件及时做升级

也因为幕后主使难以定位,大部分的资安团体都转向加强防御措施,以及对大众传播资讯自保的方式。

Chokden说,一般人不需要学会写程序就可以做好防御:「作为平民老百姓,只要对信息安全多一点警觉,不要随意打开来路不明的信件,就可以有效降低中毒机率。 」

他形容,一个团体里面只要有一个人的安全意识不够,就会成为团体容易被攻陷。 黑客可以透过这个人对团体里的其他人进行攻击,间接取得数据。 「所以,就算很多人都说自己没有什么秘密,我们还是应该要为了他人着想,而提高警觉。 」

Nishihata与他感想雷同。他介绍了Citizen Lab创建的教育大众信息知识的平台 Net Alert ,也推荐按照 Security Planner 的步骤实施简易的防御措施。 但是,他也感叹,「用户改变行为模式是漫长的过程,但黑客改变攻击模式却只在一夜之间。 」

罗法/杨威廉(发自台北)

DW.COM