臉書追蹤越南駭客組織「海蓮花」,首度公開攻擊操作模式

臉書追蹤越南駭客組織「海蓮花」,首度公開攻擊操作模式
目前停擺的CyberOne Security 臉書專頁。Photo Credit:Reuters / 達志影像

我們想讓你知道的是

一個為越南政府從事間諜活動的駭客組織,被臉書的網路安全調查員追蹤發現與一家IT公司有關。

12月11日,臉書(Facebook)表示,他們的網路安全調查員追蹤發現,一個長期被疑為越南政府從事間諜活動的駭客組織,與位於胡志明市(Ho Chi Minh)的一家IT公司有關。

路透社》報導,12月11日發表的一則聲明中,臉書首度公開揭露駭客攻擊的操作模式,並且如果確認屬實,這會是一則罕見的案例——被懷疑具國家背景的網路間諜,遭追蹤到所屬的特定組織。

據信這越南政府支持駭客組織被稱為「海蓮花」(OceanLotus,也稱APT32),該組織被指控多年來從事監視政治異議人士、商人和外國官員的工作。路透社曾報導海蓮花曾試圖駭進中國應急管理部(Ministry of Emergency Management)和武漢市政府,該地是「COVID-19」(2019年新型冠狀病毒疾病,以下稱武漢肺炎)最初開始爆發感染之處,以獲取有關病毒的資訊。

臉書新聞稿指出,海蓮花是高等級且長久的威脅,以惡意軟體攻擊瞄準的對象。受害者包括越南當地及身在海外的人權運動者、外國政府如寮國和柬埔寨、非政府組織、新聞機構和資訊科技業等產業的商人和行動裝置。

「我們追蹤和對抗這個團體許多年了,我們最新的調查分析量它們幾個顯著的技巧、技術和戰術、技術和程序(TTPs)」臉書表示,這些技巧包含社交工程(social engineering )、惡意軟體商店應用程式、惡意軟體傳散。

路透社》報導,臉書表示,先前一波由海蓮花發動的網路攻擊和越南一家公司CyberOne集團有關係,而該公司列出的地址,是位於胡志明市商業區的一條小巷。

「我們不是海蓮花。」CyberOne否認與駭客有所關聯,公司目前停擺的臉書專頁營運者告訴路透社記者,「這是誤會。」

越南外交部需負責處理國際媒體的採訪提問,但對於路透社評論此事的請求,並未立即回應。越南外交部曾否認和海蓮花的攻擊有所關聯。

臉書表示,駭客運用他們的平台,造成更大範圍的網路攻擊,有些駭客所雇用的假帳號會像社會運動者、商人般在社群媒體上發文。臉書網路安全政策負責人葛萊徹(Nathaniel Gleicher)說,團隊已找到技術證據,指出CyberOne臉書專頁與駭客行動時用的帳號之間的關聯,也涉及海蓮花其他的攻擊活動。

AP_19142743735878
Photo Credit:AP / 達志影像
臉書網路安全政策負責人葛萊徹(Nathaniel Gleicher)

然而,臉書也表示,並沒有足夠證據直接將海蓮花歸於CyberOne。該公司也使用CyberOne Security、CyberOne Technologies、 Hành Tinh Company Limited、Planet and Diacauso等名字。

葛萊徹拒絕透露更多證據的細節,因為這會讓該組織未來更難追蹤。不過,他表示證據包括基礎網路架構、惡意代碼(malicious code)和其他駭客工具與技術。「在這個領域中,這些行動者們使用非常好辨認的技術,但如果我們太公開談論我們如何觀察這些,這真的會損害到我們捕捉這種技術的能力。」葛萊徹說。

雖然海蓮花在西方國家不像一些中國或俄羅斯國家背景的駭客組織惡名張昭,但也作惡多端。

美國網路安全公司火眼(FireEye)的高階經理Ben Read,和斯洛伐克( Slovakian )軟體安全組織 ESET研究員Marc-Étienne Léveillé說,這次被臉書揭發的駭客活動,與曾被指為海蓮花操作的活動是相符合的。Ben Read說,海蓮花大約在2013年末開始活動,該組織具有國家支持且為越南政府做事的所有跡象。

Rappler》報導,12月11日,臉書也表示將對越南的海蓮花和孟加拉的一些組織有所行動。臉書將阻止一些組織「使用他們的工具濫用我們的平台,散佈惡意軟體和駭進人們帳戶」。

臉書新聞稿指出,孟加拉組織攻擊當地社會運動者、記者和宗教上的少數族群,用違反《社群守則》(Community Standards)的手段,傷害這些用戶的帳號,讓他們被臉書停權。

臉書的調查指出這些網路攻擊活動,和兩個孟加拉非營利組織有關:Don’s Team和犯罪研究分析基金會( CRAF)臉書指出,為了擾亂這些活動,他們將移除在背後操作的帳號和專頁,並將資訊分享給產業夥伴,讓他們可以偵測、組織這個活動。

延伸閱讀

新聞來源

責任編輯:徐卉馨
核稿編輯:杜晉軒