Photo credit: unsplash

一旦點開那份給圖博人的手冊,你的電腦便不再是自己的

文/詹姆斯.格里菲斯;譯/李屹

審查人員把全新疆人口逼下線的同一年,他們也致力把影響範圍擴展到中國的國界之外,強化防火長城的力量,這樣一來,不論批評中國的人在哪,他們都能加以攻擊。

二○○九年一月的某一天,有人碰巧發現上述力量的一部分。市中心偏北的多倫多大學校園中央,一幢古老紅磚建築的閣樓裡,納特.維勒納夫(Nart Villeneuve)瞪著電腦螢幕,一臉難以置信的樣子。他當時在追蹤一個狡猾的網路間諜活動團體,該團體滲透全世界的電腦、電郵帳號和伺服器,暗中監視其用戶和內容。攻擊者精心設計了所謂的「魚叉式網路釣魚」電子郵件,讓郵件看起來像是攻擊目標的朋友和同事發送的,引人入彀,令其下載惡意程式到機器上,不自覺就讓自己暴露在監視之下。這檔行動先進得令人難以想像,但始作俑者似乎也做了某些愚不可及的事情。維勒納夫三十四歲,身材高大,深色頭髮剃得不能再短了。他拿起話筒撥通隆納.德爾伯特(Ron Deibert)的電話,對他發現的事情還驚疑未定。德爾伯特是他在公民實驗室的上司兼實驗室創辦人,而公民實驗室是一個先驅性的研究團體,網際網路安全的看門狗。

「我進來了,」維勒納夫對著話筒說,「我只是 google 了它。」[1]當時令他目不轉睛的是一個指揮控制伺服器,寫出惡意程式到處散布的人用這臺伺服器發送指令給惡意軟體,但什麼安全措施都沒設置,顯然想都沒想過會有人誤打誤撞發現它。維勒納夫、德爾伯特和其他研究人員既然發現了 URL,就能看到駭客所看見的內容,結果他們被自己揭露的行動範圍嚇傻了。

幾個月前,他們在達蘭薩拉展開調查。葛雷格.沃頓(Greg Walton)是公民實驗室的實地研究員,多年來屢次造訪達蘭薩拉的圖博聚落,繼踵其他電腦專家,投向殷切需要他們的社區。一九九○年代晚期到二○○○年代早期,沃頓協助擴展先前兩位圖博網際網路先鋒(海怡和圖丹.桑珠)所完成的工作。他為數個非政府組織和政府部門建立網站、教授電腦課程,並幫助人們設定電子郵件帳號。[2]離鄉背井的圖博人散得愈來愈遠,網際網路有能力串聯圖博人,把他們組織起來。但回顧過去,沃頓意識到他們全都一頭栽進網際網路的好處,壓根沒想到不利的一面。達蘭薩拉網際網路發展的早期固然艱辛,設備和技術青黃不接,但一發展起來就衝得很快;愈來愈多圖博人開設電子郵件帳號,加入郵件清單伺服(listservs),不大管資安問題。

不利的一面迅速浮上檯面。外國領袖試圖安排跟達賴喇嘛會面,連公開宣布會面都還沒,就先收到北京氣沖沖的公文,警告他們不要跟「分離主義者」有任何瓜葛。旅經中國控制之領土的圖博人,在邊界上被拘留並訊問,他們自己寫的電子郵件被當局拿到面前來,作為他們從事邪惡活動的證據。不是設計來監控,而旨在破壞和摧毀的侵略性惡意程式,令電腦一臺接一臺陷入不能運作的狀況。明顯有人鎖定圖博人,所有跡象都指向中國,但還不清楚行動的規模。是情報機關,是軍方,是所謂的「愛國駭客」鎖定圖博人,還是三者的結合?

起初,攻擊的方式還十分草率:以不通順的英文寫成的電子郵件,慫恿用戶執行可執行檔;任何資安專家都知道,一執行那些檔案就形同送電腦去自殺。但這是網際網路的早期,缺乏資安知識的可不只圖博人。二○○○年五月,「我愛你」蠕蟲橫掃全世界。起初是一封標題為「ILOVEYOU」的電子郵件開始散播,先是在菲律賓流傳而後傳開,[3]這封信帶著一份附件「LOVE=LETTER-FOR-YOU.txt.vbs」[4]。按今日的眼光看來,這份附件讓人疑竇叢生,但它還是成功感染了數百萬臺電腦。用戶一開啟附件,「我愛你」蠕蟲就從一臺電腦擴散到另一臺電腦,像是某種癌症一樣,用自身的拷貝覆蓋其他檔案,然後照目標的通訊錄寄發電子郵件,更進一步擴散。好不容易控制住局面時,病毒已經造成了價值相當於數百萬美元的損害[5],迫使五角大廈和中情局等大型組織暫時關閉電腦網路,避免遭到感染。

圖博人每週都寄電子郵件片段和惡意程式給沃頓,他跟圖博電腦資源中心及其他當地的資安專家同心協力,著手搜集樣本。他們從樣本得知:這場衝著圖博人而來的行動所運用的惡意程式和技巧相當尋常,還不算老練,但範圍廣大而且幾乎沒有停過;雖然駭客對社群中的大多數人多半不感興趣,他們仍舊鎖定了整個社群。此外,攻擊者明顯在密切監控行動的成果,也企圖改善。一場呼籲圖博人不要開啟附件,靠 Google 雲端硬碟等雲端服務分享文件就好的大型教育活動舉辦後,鎖定那些雲端服務的新型惡意程式沒多久就出現了。

遭受攻擊而陷於駭客掌握的人士中,包含圖博流亡政府的要員。攻擊活動開展幾年後,沃頓跟劍橋大學的研究人員胥雪魯.那嘎拉加(Shishir Nagaraja)受邀調查達賴喇嘛辦公室的電腦,他們發現駭客有辦法存取所有資料,可以操作筆記型電腦的麥克風和視訊鏡頭監控和側錄周圍的人事物,駭客也破解了一個從圖博逃到印度的流亡者的資料庫,數千人和他們的家人於是暴露於遭受潛在報復的風險之下。那嘎拉加記得,他們發現的事情讓他們「真的是瞠目結舌」:人們竟然會因為被駭客打包帶走的資料而陷於致命危險中,他是第一次調查這樣的案子。[6]達賴喇嘛身邊有印度邊防守衛、警員和一支菁英的圖博特種部隊。為人身安全如此勞師動眾,駭客突破數位陣地卻是輕而易舉,其間的反差實在太荒謬了。

在維勒納夫發現指揮控制伺服器之前,團隊只能追蹤惡意程式攻擊的目標,現在他們能確切知道攻擊者入侵電腦後到底做了什麼。被感染的機器一連上指揮控制伺服器,伺服器就能命令它刪除、拷貝或分享檔案,將惡意程式散播到其他裝置,或者不動聲色地待在背景裡監看並記錄所有的用戶活動。

駭客工具箱裡的頭號武器就是單單一支惡意程式,Gh0st 遠端管理工具,或 Gh0st Rat,這支程式原本是由中國的程式設計師開發,後來移植成英文版。[7]這支惡意程式傳播到目標電腦後,會在 Windows 的系統資料夾迅速建立數個檔案和可執行檔,於是每次重開電腦時就會啟動並執行它。此外,它還會建立秘密後門,讓它能連上網,跟指揮控制伺服器溝通。[8]

Gh0st Rat 讓駭客開天眼,對用戶的機器一覽無遺,還能看到每一次按鍵操作,追蹤每一個檔案的建立或修改。如果需要更專業的惡意程式,例如要破解一個加密的資料夾,Gh0st Rat可以在用戶渾然不覺的情況下,暗中下載並安裝其他惡意程式。簡單的指令,諸如「COMMAND_DELETE_FILE」和「COMMAND_WEBCAM」這樣的指令名稱,就含括了上述功能,可從伺服器送出,在被感染的機器上執行。[9]

維勒納夫、沃頓等人追查的 Gh0st Rat 版本,是經由精心製作的電子郵件散播,看似發自名正言順的來源,夾帶切合題旨的附件。他們發現其中一封信發自campaigns”freetibet.org,附件是一份微軟 Word 文件,標題是〈給流亡圖博人的自由運動ID手冊譯本〉。乍看之下,這封電郵顯得堂堂正正,夾帶圖博流亡政府的標誌,還提到「自願捐獻圖博自由運動共同基金」的人。然而目標一旦開啟附帶的文件,該文件就會利用 Word 的一處漏洞,安裝 Gh0st Rat 惡意程式,讓駭客全面控制目標電腦。

公民實驗室團隊在達蘭薩拉調查後,得以了解鎖定圖博人的惡意程式連回的伺服器架設在海南,那是中國南方靠近越南的島嶼省分。一般而言,檢視目標電腦上的惡意程式所能獲悉的〔資訊〕,僅限於被竊走什麼〔資料〕、被送往何處。所幸維勒納夫發現指揮控制伺服器,費了一番心力在網路上搜查,嘗試許許多多 URL,屢錯屢試,終於讓他找到一份駭客染指的所有電腦的清單,那是一份讓人震驚的清單。被公民實驗室團隊稱為「鬼網」(GhostNet)的入侵行動在兩年的歷程裡,侵入了將近一千三百臺電腦,遍及超過一百個國家。團隊估計,其中約四百臺電腦屬於高價值的政治、經濟和媒體目標。多數電腦被感染一百四十五天左右。而在某個掃毒軟體或某種類型的保護介入,中止惡意程式的活動,或者駭客逕自中斷連結之前,被感染超過四百天的電腦,為數超過一百臺。[10]

〔惡意程式感染的電腦,〕遠超過印度偏遠地區的圖博異議人士,另有數百人被鎖定,包括外交官、軍官、議員、記者,他們的一舉一動都在「鬼網」駭客的監視之下。「十之八九,」團隊在報告中寫道,「文件在目標不知情的狀況下被搬動了,按鍵被記錄,視訊鏡頭無聲地打開,音訊輸入暗中啟動。」公民實驗室固然沒辦法一口咬定侵入活動背後的藏鏡人,但報告的結論是:「最顯而易見,而且情境證據一面倒向的解釋,恐怕是中國當局為了軍事和戰略情資的目的,利用了這一群備受關注的目標。」[11]

報告這樣寫,不僅僅是因為攻擊者使用中國人製作的惡意程式,還回傳到中國的伺服器,主因更在於伺服器在中國境內的確切位置。當時,陵水訊號情報中心,還有人民解放軍第三技術部的一個部門,都設在海南,後者相當於中國的國家安全局。[12]該部的行動雖然一時還鮮為人知,但再不久就會登上全球的頭條新聞。

註釋
[1] R. Deibert, Black Code: inside the battle for cyberspace, Toronto: McClelland & Stewart, 2013, p. 21.
[2] 作者於2017年9月對沃頓的訪談。
[3] M. Kane, ‘“ILOVEYOU” e-mail worm invades PCs’, ZDNet, 4 May 2000, https://web.archive.org/web/20081227123742/http://news.zdnet.com/2100-9595_22-107318.html?legacy=zdnn
[4] E. Chien, ‘VBS.LoveLetter.Var’, Symantec, 5 May 2002, https://www.symantec.com/security_response/writeup.jsp?docid=2000-121815-2258-99
[5] P. Hayes, ‘No “sorry” from Love Bug author’, The Register, 11 May 2005, https://www.theregister.co.uk/2005/05/11/love_bug_author/
[6] ‘File on 4: Cyber spies’, BBC Radio 4, 25 September 2011, https://www.bbc.co.uk/programmes/b014q04r
[7] G. Walton et al., ‘Tracking Ghostnet: investigating a cyber espionage network’, Information Warfare Monitor, 29 March 2009, p. 34.
[8] ‘Threat encyclopedia: Ghostrat’, Trend Micro, 21 September 2012, https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ghostrat
[9] Security Ninja, ‘Gh0st RAT part 2: packet structure and defense measures’, InfoSec Institute, http://resources.infosecinstitute.com/gh0st-rat-part-2-packetstructure-defense-measures/
[10] Walton et al., ‘Tracking Ghostnet’, pp. 40–4.
[11] Walton et al., ‘Tracking Ghostnet’, p. 48.
[12] M. Stokes, ‘The Chinese People’s Liberation Army signals intelligence and cyber reconnaissance infrastructure’, Project 2049, 2011, p. 10, https://web.archive.org/web/20180209020355/http://project2049.net/documents/pla_third_department_sigint_cyber_stokes_lin_hsiao.pdf

※ 本文摘自《牆國誌》,原篇名為〈機器裡有鬼:中國駭客擴展防火長城的範圍〉,立即前往試讀►►►