駭客來去十年多 又與藏人再相逢
2018年10月18日(德國之聲中文網)2018年,藏人非政府組織、記者、藏人行政中央紛紛收到電子郵件。
寄件人是tibetanparliament@yahoo.com,意思是藏人國會。 內容是分享文化活動、倡議行動或是政府公告,郵件附帶一份Microsoft PowerPoint 檔案。
如果是流亡藏人,看到這樣的郵件地址就很可能會點開。 如此一來,就踏進了駭客設下的圈套。
駭客利用社群網站上蒐集來的公開訊息,或是過去竊取來的內部消息做成信件內容,博取用戶的信任。 用戶下載附件之後,可以正常的閱覽文件內容,絲豪察覺不出異狀。 但是事實上,「後門程序」已經暗地啟動,不但讓駭客竊取數據,也為駭客日後的攻擊打開一個通道,讓他繞過一般的安全性憑證,取得數據,甚至即時遠端控制。
但長期追蹤資安問題的加拿大多倫多大學研究室Citizen Lab對這種手法並不陌生。
例如經典案例2009年的「鬼網」,便是一宗大規模網路攻擊案件,龐大而手法縝密:至少1,295人受害,擴及103個國家。 當中,外交單位、新聞媒體、非政府組織等「高價值的目標」佔比高達三成,流亡藏人與達賴喇嘛私人辦公室也包含在內。
Citizen Lab從開發者資料庫有關的訊息(PDB)發現2018年的行動與2013年的「鑰匙男孩」(KeyBoy)以及2015年的「熱帶騎兵」(Tropic Trooper) 很可能系出同源。 另外,該行動發送惡意文件的電子信箱,與2016年名為「國會行動」的攻擊當中所使用的信箱是同一個。
這也就是說,以年份排序,2013鑰匙男孩發動,2015改名為熱帶騎兵,2016轉型為國會行動,2018又改造並以新型態現身。 所有網路攻擊都是源自同一個系統。
「惡意程式瞄準流亡藏人進行攻擊,已經超過十年。 」Citizen Lab 的研究室主任Masashi Nishihata告訴德國之聲:「這種行動和一般商業性的訊息犯罪不同,它不是要取得財務上的利益。 背後驅使他的是政治動機。 目標是要監視社群的活動、聯絡、以及動員情況。 」
「這些行動不只是造成智慧財產權或是財務上的損失,而是直接影響到個人、家屬甚至整個社群的人身安全。 」
Nishihata 表示,用電子郵件傳送挾帶惡意軟體的檔案曾經是駭客攻擊最常見的手法。 但是,從2016年開始,他們觀察到攻擊手法開始有所轉變:惡意軟體逐漸減少,更多的使用「釣魚網頁」。
「釣魚網頁」是駭客仿造知名網站的頁面,引誘用戶在假網頁上輸入賬戶密碼,藉此竊取個人資料。 「西藏人,以及大部分的社運人士,跟我們大多數人一樣,依賴一般的商用平台進行溝通聯絡。 」Nishihata 說,「這種手法比設計一個惡意軟體便宜,而且一樣可以取得重要訊息,足以扼殺社會運動或是造成實質傷害。」
幕後主使
假如每次的事件都是一個點,多次揭露形成一個面,那麼佈置這個天羅地網的,究竟是誰?
想要找到幕後主使,第一個方法是直接分析惡意軟體的程序代碼,尋找與開發者有關的訊息。
2009年「鬼網」中,攻擊者的域名大多註册在同一個人名下,而且位在中國(cn)。 近一步跟著木馬程序沿線尋找控制端的IP地址,在中國海南。
到了2016年的「國會行動」雖然改變了寫法,讓研究人員沒辦法在程序代碼中找到像「鬼網」那樣的域名,然而,還是找得到核心的控制端伺服器(C&C 伺服器)位在中國。
但是,就算這些線索指向中國,這兩種方法都沒辦法斷定「中國」就是幕後主使。
「技術上,幕後主使的地點非常難追蹤。 舉例來說,發動攻擊的計算機可能位於台灣,但是他取得數據之後,可以把數據送到任何一個國家,可能是香港,可能是美國。 」Fedora Project 的訊息專家Tenzin Chokden 接受德國之聲訪問表示:「IP地址的地點沒有辦法代表幕後主使的地點。 」
那麼,不同行動的受害者是否具有共通點? 能不能從受害者反推犯案動機,進而找到誰有嫌疑?
主導研究的Nishihata表示,綜合多次調查,可以發現駭客感興趣的目標不只是藏人族群,而是更廣的群體。 不同群體之間的共通點,就是他們若被攻擊,中國都可以從中獲得政治利益:維吾爾族、法輪功信徒、西藏人,或是東南亞或南亞的政府機關。
但是Nishihata拒絕明指幕後是誰:「除了受害者之間的共通點之外,幕後主使如何挑選目標並不清楚。 行動是否有特定人士贊助、數據最終由誰接收,也沒有辦法確定。 」
也因為幕後主使難以定位,大部分的資安團體都轉向加強防禦措施,以及對大眾傳播資訊自保的方式。
Chokden說,一般人不需要學會寫程序就可以做好防禦:「作為平民老百姓,只要對訊息安全多一點警覺,不要隨意打開來路不明的信件,就可以有效降低中毒機率。 」
他形容,一個團體裡面只要有一個人的安全意識不夠,就會成為團體容易被攻陷。 駭客可以透過這個人對團體裡的其他人進行攻擊,間接取得數據。 「所以,就算很多人都說自己沒有什麼秘密,我們還是應該要為了他人著想,而提高警覺。 」
Nishihata與他感想雷同。他介紹了Citizen Lab創建的教育大眾訊息知識的平台 Net Alert ,也推薦按照 Security Planner 的步驟實施簡易的防禦措施。 但是,他也感嘆,「用戶改變行為模式是漫長的過程,但駭客改變攻擊模式卻只在一夜之間。 」
羅法/楊威廉(發自台北)