精選書摘

《奇幻熊在網路釣魚》:俄國如何部署駭客擊殺鏈,影響美國大選?
2016年9月14日,電腦螢幕上的奇幻熊網站fancybear.net畫面。奇幻熊(Fancy Bear)是來自俄羅斯軍情局格魯烏的駭客與網路間諜組織。(攝影/AP Photo/Alexander Zemlianichenko)

文字大小

分享

加入書籤

【精選書摘】

本文為《奇幻熊在網路釣魚:為何網際網路如此脆弱?駭客如何利用人性竊取機密,以及我們如何更安全》部分章節書摘,經悅知文化授權刊登,文章標題與小標經《報導者》編輯改寫。

國際研究報告指出,台灣為全球受境外假訊息攻擊最嚴重的國家之一,然而,網路安全一躍成為政治核心議題,並非台灣獨有。當網路成為近在咫尺的戰場,科技成為民主的敵人,耶魯大學教授、同時也是耶魯大學網路安全實驗室創辦人暨主任的史考特・夏皮羅(Scott J. Shapiro)指出,網路安全已是全民必修課。他在本書首次分享於耶魯法學院開設網路安全課的精華內容,循序分析網路危機的三大重點:

  • 為什麼網路遠比我們以為的更危險?
  • 駭客發動攻擊的模式和動機為何?
  • 個人、企業和國家該如何應對資安攻擊?

本書帶領讀者重回五大駭客事件現場,包括影響日後甚深的2016年美國總統大選的「民主黨遭駭事件」(DNC hack,又稱郵件門2.0)。該事件不僅是俄羅斯政府駭客試圖干擾美國選舉的里程碑,更讓世人警覺資訊戰的來臨。

間諜的抽象準則

「系統安全對我們的運作至關重要,也是競選團隊和各州黨部的信心來源。」黛比. 瓦瑟曼. 舒爾茨(Debbie Wasserman Schultz) 在2016年的6月12日這麼說,她是佛羅里達眾議員,也是民主黨全國委員會的主席。「一發現入侵,我們就將其視為緊急事態,立刻聯絡CrowdStrike資安公司。靠著團隊的迅速反應,我們在第一時間就驅逐了入侵者, 保護了整個網路的安全。」

欸,其實沒有。2015年9月,民主黨就從聯邦調查局那聽說俄羅斯入侵的事了,然後他們整整過了10個月才除掉駭客,這實在算不上「第一時間」。而且,CrowdStrike明明在5月8日就已經指出,潛入網路的俄羅斯駭客團隊不只一個,而是兩個,民主黨還是拖到6月10日才要求他們驅逐所有駭客。在這一個月裡,俄羅斯人竊聽民主黨的機密通訊,絲毫沒有遭遇阻礙。

這麼緊急的事件,為什麼聯邦調查局和民主黨卻花了這麼久才反應過來?最簡單也最容易想到的答案,當然是這些人全都尸位素餐。可惜並非如此。說出來你可能不相信,這個故事裡的每個人都遵循著正常的抽象準則,做出來的行為多少也都算是理智。

但駭客的抽象準則卻和一般人完全迥異,這點可以從史諾登洩密案看出來。大部分的人對這件事應該都有些了解:年僅29歲的愛德華.史諾登(Edward Snowden)是個高中輟學的電腦天才,曾為美國國安局工作,後來發現美國政府瞞著國民建立一套全球監控系統而感到幻滅。於是他在6個月之內盜取了上百萬份最高機密檔案,辭去工作逃往香港,躲在一間高級旅館,將文件交給多名記者。

史諾登的檔案詳細披露了美國國安局設計的超級全球監控系統,而且計畫中每個專案的代號都超級詭異,比如,美國國安局和英國政府通信總部之間的情報共享計畫「肌肉」(MUSCULAR)、蒐集外國情報的資料挖掘計畫「無界線民」(BOUNDLESS INFORMANT),還有將外國情報加上索引的資料庫「終極機密總譜」(XKEYSCORE)。除了揭露這些計畫的施行細節,史諾登檔案也列舉了一長串曾被美國國安局入侵過的敵手和盟友。國安局曾入侵過中國電信以研究華為的伺服器,入侵過塔利班以得知神學士部隊的動向,也入侵過美國國內的視訊會議系統,以及德國總理梅克爾(Angela Merkel)的手機。

Fill 1
2015年6月23日,愛德華・史諾登( Edward Snowden)透過來自俄羅斯的視訊連線(圖片上和左下)參加了歐洲議會司法及公民自由委員會的聽證會。當時史諾登因揭露美國國家安全局間諜計畫而被華府稱為駭客和叛徒,而後接受俄羅斯庇護。(攝影/AFP/FREDERICK FLORIN)
2015年6月23日,愛德華・史諾登( Edward Snowden)透過來自俄羅斯的視訊連線(圖片上和左下)參加了歐洲議會司法及公民自由委員會的聽證會。當時史諾登因揭露美國國家安全局間諜計畫而被華府稱為駭客和叛徒,而後接受俄羅斯庇護。(攝影/AFP/FREDERICK FLORIN)

問題來了:史諾登揭發了美國國安局入侵他國網路,但這到底算不算非法行為?

答案是,看你問的是哪個法律。根據國際法,國家之間可以對彼此派出間諜、用各種方法探尋和蒐集有關國家安全的情報,無論是不是機密。也就是說,在國際法上,入侵梅克爾的手機完全正當。這麼做也合乎美國法律,因為國安局是監聽美國境外的資訊,對象也不是美國人。12333號行政命令也允許國安局不必持有《外國情報偵察法》的搜查令,就能直接駭入手機。

不過根據德國法律,美國國安局的行為就是犯罪了。結果就是歐巴馬(Barack Obama)因為觸犯德國法律, 親自向梅克爾道歉。當然, 德國也有對美國派出間諜。根據德國法律,德國聯邦情報局(Bundesnachrichtendienst, BND)同樣可以駭入美國公民的手機。

這個規則全世界都通用。每個國家都允許自己向其他國家派遣間諜,卻禁止其他國家在自己國內安插間諜。也就是說,間諜活動有種奇異的「法律二相性」:合法與否,端看是誰派出的間諜。當我們對別國派出間諜,在我們的法律上就是對的;當別國對我們派出間諜,在我們的法律上就是錯的。

間諜的法律二相性也意味著,每個國家在譴責他國的間諜行為時,都不怎麼誠實。在派出自家間諜的同時,又不斷抗議他國的間諜活動,也難怪政治學家史蒂芬.卡斯納(Stephen Krasner)會說,這互相抗議的畫面是「組織化的虛偽」。每個國家都譴責間諜行動,但沒有一個國家不搞這些。而國際法的解方則是忽略所有細節,直接批准各國為了自身安全而彼此監視。同樣地,每個國家也都知道彼此是如何說一套做一套,這些外交抗議的誠意,說實在就跟1942年的電影《北非諜影》(Casablanca) 中,路易.雷諾局長「發現」銳克咖啡館裡有人賭博時的「極度震驚」沒什麼兩樣。

為何螺絲都鬆了
在知道間諜活動是國際關係中的常態之後,就不難理解為什麼當美國聯邦調查局在2015年9月發現安逸熊(Cozy Bear)
俄羅斯聯邦安全局的駭客團隊;而奇幻熊是俄羅斯軍情局格魯烏的駭客團隊。「安逸熊」是資安公司CrowdStrike的命名,而美國聯邦調查局則是稱之為「公爵幫」(the Dukes)。
俄羅斯聯邦安全局是蘇聯時代國安情報機構KGB的後繼者,也是俄國最主要的國安單位,負責蒐集和分析國內情報。普丁就是在1998年被葉爾欽任命為俄羅斯聯邦安全局局長。
這次的行動時,沒有採取更高的戒備。根據他們的常識,這次駭客攻擊只是標準的作戰流程,只不過是俄羅斯情報人員在蒐集有關美國總統總統大選的情報。而美國也會對俄羅斯做一樣的事情,不值得大驚小怪。

而且,這次針對民主黨全國委員會的駭客攻擊,只是一場大型情報作戰裡的一個環節。俄羅斯人對美國的駭客行動,並不是從2015年才開始的。像是在2014年的11月,俄羅斯就曾經攻入美國國務院的非機密系統。根據國安局副局長理查.雷吉(Richard Ledgett)的描述,當時驅離俄羅斯駭客的過程就像一場「白刃戰」。俄羅斯駭客撤出國務院以後, 又入侵了白宮的非機密網路,看了一些歐巴馬總統的電子信件。2015年4月,俄羅斯也曾駭進五角大廈的非機密系統。5月,他們又破解了參謀長聯席會議(Joint Chiefs of Staff)的非機密信箱系統。

安逸熊在2015年的9月找上民主黨,是因為他們缺乏硬目標(hard target),也就是高價值、但防禦和組織完善的攻擊對象。根據間諜準則,如果沒有硬目標,就要找軟目標(soft target)下手。於是,安逸熊開始尋找防禦薄弱、但價值也較低的目標。而民主黨全國委員會原本只是這種方便攻擊的軟目標之一,所以在聯邦調查局看來,民主黨的網路被駭,本來就是意料中的事。

既然大型政治組織本來就有可能成為外國情報蒐集的目標,那民主黨這邊也就不至於太恐慌。從民主黨的角度來看,這並不是什麼重大危害。系統被俄羅斯人入侵,雖然會讓他們的選戰策略暴露,但俄羅斯人也不會到處聲張。因為一般來說,情報部門花一堆時間和精力搞間諜活動,並不是為了用這些調查結果來幫其他國家減少麻煩。

另一個因素,可能也影響了他們對俄羅斯入侵的反應速度。前面有提到,聯邦調查局的角色很複雜,既是反情報機構,也是執法單位。搜索間諜只是其中一部分人的工作,另一部分的人則負責調查犯罪。當反情報部門在追查入侵民主黨網路的俄羅斯駭客時,司法部門也同時在調查希拉蕊.柯林頓(Hillary Clinton)的私人信箱伺服器。霍金斯正是隸屬於司法部門,而非反情報部門的探員。塔摩內不太願意配合霍金斯,或許也是因為他懷疑霍金斯正在蒐集刑事證據。畢竟,聯邦調查局的檢察官不能對嫌疑人說謊,但是探員可以。

CrowdStrike的技術人員,在6月10日星期五的下班後來到民主黨全國委員會。他們關閉了網路,清除了系統,並重新安裝新的代碼。到了星期日晚上,安逸熊和奇幻熊(Fancy Bear)
俄羅斯軍情局格魯烏的駭客團隊。
全都被趕出去了。CrowdStrike還安裝了偵測軟體,如果俄羅斯人又跑回來,就會發出警告。

6月14日,《華盛頓郵報》頭版刊出了國安記者艾倫.中島(Ellen Nakashima)的報導,標題為「俄羅斯駭客滲透民主黨,對川普敵情研究遭竊」(Russian Government Hackers Penetrated DNC, Stole Opposition Research on Trump)。CrowdStrike的狄米崔.阿爾佩羅維奇也刊登了一篇科技新聞,題為「熊在網中」(Bears in the Midst),證實了中島的文章,並指出這些攻擊來自安逸熊和奇幻熊。「這兩個團隊過去曾攻擊我們的客戶很多次,我們經驗豐富,很了解怎麼對付這些人。」他在文中很有自信地宣告,也提到對方「卓越」的諜報技術是「符合國家單位的水準」。這些人用的工具和技術,明顯都有著俄羅斯情報機構的影子。

「他們參與了許多對俄羅斯聯邦政府有利的政治和經濟間諜活動,一般認為,他們和俄羅斯政府強大幹練的情報機構關係密切。」

到了這時,美國聯邦調查局和民主黨或許都以為事情已經告一段落了,俄羅斯政府掌握了有關美國政治的重要情報,準備在之後跟美國的往來中派上用場。如果參與這次攻擊的團隊只有安逸熊,那麼,事情確實有可能到此為止。

但奇幻熊有別的打算。

誰是古西法

43歲的馬瑟─勒黑爾.拉澤(Marcel-Lehel Lazăr)不開計程車以後就沒再繼續就業,住在薩姆貝提尼這個外西凡尼亞(羅馬尼亞中西部地區)的小村莊裡。他不曾受過專業的電腦訓練,也沒有酷炫的設備,卻是全世界最有錢、最知名、紀錄最輝煌的駭客之一。勒黑爾的專長是猜出網路公司美國線上(AOL)安全性問題的答案,破解該公司的使用者帳號。他曾把許多名人的私人通訊紀錄放到網路上,受害者包括曾以《曼哈頓》(Manhattan )奪得金像獎的瑪莉葉兒.海明威(Mariel Hemingway)、《欲望城市》原著作者甘黛絲.布姝乃爾(Candace Bushnell),以及前總統布希父子一家人。勒黑爾的代號為「古西法」(Guccifer),根據他自己的解釋,其意為「潮如古馳(Gucci),明如路西法」。古西法最大的娛樂,就是折磨羅馬尼亞的政客。他曾駭進該國政客柯琳娜.克雷楚(Corina Cretu)的帳號,揭露這名47歲的歐洲議會議員,曾經傳比基尼照和前美國國務卿科林.鮑威爾(Colin Powell)調情。

古西法於2014年落網,在羅馬尼亞被判7年徒刑。檢察官曾說「他只是個想成名的可憐羅馬尼亞人」,正好介於黑暗復仇者和卡麥隆.拉夸之間。不過,古西法卻反對這個描述,他認為自己才不是只想成名15分鐘的魯蛇,而是像路西法一樣高舉著光明之劍,抵禦統治世界的黑暗陰謀。「19、20世紀的有錢人、貴族、銀行家和資本家建立了一個叫做光明會的組織,在黑暗中統治著這個世界。」

2013年, 古西法駭進了希拉蕊親信錫尼. 布魯門撒(Sidney Blumenthal)的美國線上帳號。他的信件中提到,在希拉蕊擔任國務卿時,政府的信件都會寄到同一個伺服器,位於紐約州的查帕夸,也就是希拉蕊的家鄉。但這個私人信件伺服器之所以惹出政治風波,不只是因為它有違法之嫌(這也是聯邦調查局展開刑事調查的原因),更因為它引起大眾揣測,希拉蕊是不是在搞些不道德的勾當,並利用職務之便掩蓋證據,逃過公共監督。

接著,我們來說古西法2.0。2016年6月15日,也就是《華盛頓郵報》和 CrowdStrike揭發俄羅斯駭客攻擊的隔天,有個人以「古西法2.0」為名開了一個部落格「guccifer2.wordpress.com」,還有推特帳號: @Guccifer_2。該部落格的第一篇文章發表於莫斯科標準時間晚上7點02分,嘲諷CrowdStrike替民主黨驅逐俄羅斯駭客的新聞:「大家都知道, CrowdStrike 這家資安公司不久前宣布,民主黨全國委員會的伺服器被『幹練的』駭客團隊入侵。我很感謝他們看得起我的技術))),但老實說,這真的很簡單,簡單到不行。」古西法2.0還宣布自己會追隨同名前輩的腳步, 「古西法也許是第一個挖出柯林頓和其他民主黨信件的人,但絕對不是最後一個。」

為了證明自己沒有吹牛,古西法2.0貼出一堆偷來的文件。第一份文件是長達237頁、針對川普(Donald Trump)的敵情研究。該文件編製於2015年的12月,來自波德斯塔的電子郵件,其中詳細列出了川普經商失敗的歷史、婚外情和種族歧視言論。為了打臉民主黨全國委員會主席舒爾茨說的「沒有個人或財務資訊遭竊」,古西法2.0也貼出了募款單據,所有捐款人的名字、地址、郵件信箱和捐款金額全都一目了然。波德斯塔信件中的另一份紀錄則列出了7個好萊塢支持者的名字,其中包括摩根. 費里曼(100萬美金)、史蒂芬.史匹柏(110萬美金)和迪士尼的大製片傑佛瑞.卡森伯格(300萬美金)。古西法2.0接著表示,他已經將其他許多資料「交給維基解密,不久後就會公開」。文章的結尾還加上古西法1.0風格的標準結尾:「幹你光明會!幹你的陰謀!!幹你CrowdStrike !!!」

為了盡量可能吸引注意力, 古西法2.0還聯絡了「The Smoking Gun」和「Gawker」等網站,這兩個媒體都以刊登洩密資料聞名。古西法2.0的文章都宣稱,這些文件是由一名和俄羅斯無關的獨行俠所提供,他的自我介紹是:「駭客、管理員、哲學家,熱愛女人。」兩個網站都貼出了他提供的文件。

最初那份文件流出的一星期後,維基解密(WikiLeaks)朱利安.阿桑奇(Julian Assange)也用推特私下聯絡古西法2.0。他敦促古西法2.0「快多寄一點新資料給我們看,這會讓你在做的事情發揮更多的影響力」。幾週後,阿桑奇又傳訊寫道:「不管你還有什麼希拉蕊的料,我們都要。」此時民主黨全國大會將近,能讓資訊發揮最大的破壞力。「我們認為川普贏過希拉蕊的機率只有25%⋯⋯所以她和桑德斯的較勁顯然比較有意思。」

失敗了幾次後,古西法2.0終於將一個加密檔案傳給維基解密,說明如何進入存放失竊文件的線上檔案夾。7月18日,維基解密宣布已經取得了1GB 的相關資訊,即將在未來一週內釋出。

古西法2.0和維基解密「聯手出擊」

為了利用7月25日民主黨全國大會的能量,並打擊川普在7月21日共和黨全國大會上營造的氣勢,希拉蕊的競選團預計在7月22日宣布選擇現任維吉尼亞州參議員的提姆.凱恩(Tim Kaine)擔任副手。但凱恩並不是什麼特別的人物,因此希拉蕊決定在推特上公布這個選擇。

而在她宣布這個大消息之前,維基解密就先洩密了。美東夏令時間早上8點26分,維基解密在推特預告:「準備認識希拉蕊了嗎?我們今天將會公開兩萬封民主黨高層的信件! #Hillary2016。」

兩個小時後,早上10點50分,地獄之門開啟,維基解密發了推文:

推文中提到他們一共釋出了19,252封從民主黨全國委員會取得的信件,還附上一張希拉蕊.柯林頓坐在筆電前準備寄出鈔票和炸彈的諷刺漫畫。一小時過後,維基解密又釋出了「1,062份文件和試算表」,還有一個索引資料庫的連結,方便記者找到最具傷害性的料。

大部分的資料都是普通的選舉事務,沒有什麼大新聞──但有一些訊息顯示出黨內屬意希拉蕊,還有些暗示了要把伯尼.桑德斯(Bernard "Bernie" Sanders)搓掉。而維基解密最用力搧風點火的一份文件,則是民主黨財務長曾寫信提議黨內, 應該在之後的肯塔基州和西維吉尼亞州初選中,質疑桑德斯透露的無神論傾向:「我們應該找人在肯州和西維州的初選期間質疑他的信仰,問他到底相不相信上帝⋯⋯對我那些南方浸信會的伙伴來說,猶太候選人是一回事,無神論候選人又是另一回事。」

希拉蕊關於提姆.凱恩的推文在晚上8點11分發布,但此時人們的注意力早就被維基解密的爆料給搶走了。隔天,希拉蕊和凱恩在佛羅里達州碰面,準備進行造勢。凱恩全程用西班牙語演講,以博取拉美社群的好感。活動很順利, 但媒體上全都是維基解密的新聞。外洩信件點燃了輿論,人們憤怒地抨擊全國委員會失去應有的中立。「我早就說過,」桑德斯告訴《ABC新聞》(ABC News)的喬治.史蒂芬諾伯羅斯(George Stephanopoulos):「全國委員會一直都不公平,他們支持的是國務卿希拉蕊。我半年前說的都是實話,全部都是真的。」

全國委員會的員工也遭到猛烈砲轟。桑德斯的支持者從維基解密中找到無數員工的信箱,還有簽名檔中所附的電話,寄出一封又一封不堪入目的謾罵、撥出一通又一通不堪入耳的咆哮。有些員工甚至還收到死亡恐嚇, 但也有人批評記者不該貼出這些失竊的信件。而他們的回答是:既然這些信有新聞價值, 現在又是大選期間, 他們的工作當然就是報導出來。況且,放上網路的資料就像擠出的牙膏,收不回去了。

隔天,川普也發了推文:「維基解密上傳了民主黨的外洩郵件,他們計畫摧毀伯尼.桑德斯,還嘲笑他的血統之類的。有夠惡毒,政治迫害!」

拆穿間諜免洗帳號

朱利安.阿桑奇曾發誓絕不透露信件的來源,但也否認這些遭竊的文件來自俄羅斯人之手。他認為這是內部人士所為,可能是民主黨的技術顧問或工程師。川普也質疑俄羅斯牽涉其中的說法。「俄羅斯當然有可能, 但也可能是中國,或是其他人嘛。搞不好是某個400磅重的胖子坐在床上搞的,不是嗎?沒有人知道是誰搞了民主黨。」長期為川普出謀畫策的知名政界說客羅傑.史東(Roger Stone)更進一步否認維基解密的資料來源是俄羅斯。他8月在布萊巴特新聞網(breitbart.com)上發表了一篇文章, 宣稱古西法2.0是純正的羅馬尼亞激進駭客。這位在背上刺著理查.尼克森頭像的政壇詐術家向大眾保證:「古西法2.0是玩真的。」

當然,古西法2.0的來頭十分可疑。最明顯的問題就是他出現的時機。6月14日,《華盛頓郵報》和CrowdStrike才剛發布俄羅斯情報人員駭進民主黨網路的新聞,古西法2.0就在隔天出現了。在這之前,網路上根本沒有這號人物。最直覺的解釋是,古西法2.0是個分身帳號,一個俄羅斯情報人員用來掩人耳目的網路身分。此時乍然登場是因為間諜活動暴露,必須收尾。知名網路安全專家The Grugq也說:

「間諜活動一暴露, 就得像這樣迅速轉變行動模式,利用各種影響力、騙術和假訊息作戰,以減輕暴露的負面後果。」

The Grugq還注意到古西法2.0不是用「:)」而是「)))」表達笑容,這個用法在俄羅斯比較流行。

所以, 當資訊記者羅倫佐. 弗朗切西─比齊耶萊(Lorenzo Franceschi- Bicchierai)大膽地用羅馬尼亞語聯絡古西法2.0時,這傢伙就破功了。

Ai vrea să vorbească în română pentru un pic?(你要用羅馬尼亞語聊聊嗎?) Vorbiți limbă română?(你會說羅馬尼亞語?) Putin. Poți să-mi spui despre hack în română?Cum ai făcut-o?(一點點,可以用羅馬尼亞語跟我聊這次的攻擊嗎?你是怎麼做的?) Or u just use Google translate?(還是你用谷歌翻譯?) Poți să răspunzi la întrebarea mea?(可以回答我的問題嗎?) V-am spus deja. Incercați să-mi verifica?(我已經說過了。是要查證?)

古西法2.0 的羅馬尼亞語講得不太道地。或者應該說,跟谷歌翻譯的完全一樣。

《奇幻熊在網路釣魚:為何網際網路如此脆弱?駭客如何利用人性竊取機密,以及我們如何更安全》, 史考特.夏皮羅( Scott. J. Shapiro)著, 劉維人、盧靜譯,悅知文化出版
《奇幻熊在網路釣魚:為何網際網路如此脆弱?駭客如何利用人性竊取機密,以及我們如何更安全》,史考特.夏皮羅( Scott. J. Shapiro)著,劉維人、盧靜譯,悅知文化

用行動支持報導者

獨立的精神,是自由思想的條件。獨立的媒體,才能守護公共領域,讓自由的討論和真相浮現。

在艱困的媒體環境,《報導者》堅持以非營利組織的模式投入公共領域的調查與深度報導。我們透過讀者的贊助支持來營運,不仰賴商業廣告置入,在獨立自主的前提下,穿梭在各項重要公共議題中。

你的支持能幫助《報導者》持續追蹤國內外新聞事件的真相,邀請你加入 3 種支持方案,和我們一起推動這場媒體小革命。

© 2023 All rights Reserved

有你才有報導者
有你才有報導者

這篇文章的完成有賴讀者的贊助支持,我們以非營利模式運作,

邀請你加入 3 種支持方案,讓報導者能夠走更長遠的路。

瞭解更多

有你才有報導者

這篇文章有賴讀者的贊助完成,我們以非營利模式運作,邀請你加入 3 種支持方案,讓我們能走更長遠的路。

瞭解更多