《沙蟲駭客》:「安逸熊」和「奇幻熊」多年來實施俄國間諜行動,從白宮到航太及國防承包商,無一倖免

《沙蟲駭客》:「安逸熊」和「奇幻熊」多年來實施俄國間諜行動,從白宮到航太及國防承包商,無一倖免
Photo Credit: iStock

我們想讓你知道的是

作者在本書述說的是牽涉全球、令人不寒而慄的故事,探討散播惡意程式的駭客如何威脅政府與企業的安全。本書不僅揭露俄羅斯全球數位攻勢,更要告訴讀者:這個時代的戰爭不再發生在戰場,數位與實體衝突、戰爭時期與和平時刻的界線,已經開始消弭,全世界都將無法倖免。

文:安迪.格林伯格(Andy Greenberg)

第十六章 奇幻熊

或許,若是時間充裕的話,歐巴馬政府就會出聲譴責沙蟲集團的網路戰行徑,並經由演說、起訴或制裁實施懲治,以儆效尤。但到了二○一六年六月,它的注意力完全被另一次駭客挑釁給劫持了——這次更加逼近要害。

六月十四日,《華盛頓郵報》揭露,民主黨全國委員會數月以來遭受不只一組,而是兩組俄國政府資助的駭客入侵。兩個月前由民主黨全國委員會延攬,負責分析這次入侵的資安公司群擊,發表了一篇部落格貼文,確認這兩組侵入民主黨網路內部的人馬分別是安逸熊(Cozy Bear)和奇幻熊(Fancy Bear),這兩個團隊多年來一直在該公司監控下實施間諜行動,從美國國防部和白宮到航空太空及國防承包商,無一倖免。

根據多年的調查結果,群擊公司將奇幻熊與俄軍總參謀部情報總局(GRU)聯繫起來。隨後又揭露,安逸熊隸屬於俄羅斯聯邦對外情報局(SVR)。(這兩隻「熊」的名稱,來自群擊公司按照駭客出身的國家,以不同動物稱呼駭客團隊的命名系統——俄國是「熊」、中國是「貓熊」、印度是「老虎」,諸如此類。)「這兩個敵人都為了俄羅斯聯邦政府的利益,從事大規模的政治及經濟間諜行為;據信,它們都與俄國政府強大而高效的情報部門密切相關。」群擊公司的分析寫道。

換言之,這些團隊似乎專注於俄國從月光迷宮時期以來持續進行的無聲網路間諜行為,而非沙蟲才剛開始演示的更加招搖、破壞更大的網路戰手段。(事實上,群擊也追蹤了沙蟲的攻擊行動。該公司給予這個集團的代號是巫毒熊〔Voodoo Bear〕。)

但雖然民主黨全國委員會的駭客入侵並非破壞性的網路戰行為,它卻也證明了並非尋常的間諜行動。就在入侵的消息見報後二十四小時,一名自稱古奇法二點零(Guccifer 2.0)的人物出現在推特上,張貼數條通往同一個部落格的網站連結,向全世界自我介紹。那篇貼文題為「民主黨全國委員會伺服器被一個獨行俠駭客入侵」(DNC Servers Hacked by a Lone Hacker)。

「世界知名的網路安全公司群擊宣布,民主黨全國委員會伺服器遭受『精密的』駭客團隊入侵。」古奇法二點零油嘴滑舌地說:「該公司這麼重視我的技術,我非常開心。但其實非常、非常容易。」

這篇貼文接下來的內容震驚了全世界:從民主黨全國委員會伺服器竊取的真實文件片段。其中包含以共和黨總統初選領先者唐納.川普為對象的一份敵情研究檔案,一些政策文件,還有一份按照姓名及金額列舉的捐款人名單。「這些文件的主要部分,數千份文件與郵件,我都給了維基解密(WikiLeaks)。他們很快就會發表。」古奇法二點零寫道:「幹他的光明會(Illuminati)和他們的陰謀!」

這裡提到的「光明會」,以及古奇法二點零的名稱,都是為了傳達某種搗蛋的激進駭客形象,他們偷竊及洩露強權的文件,以顛覆腐敗的社會秩序。最初的古奇法是一位名叫馬塞爾.勒赫.拉札爾(Marcel Lehel Lazăr)的羅馬尼亞業餘駭客,他入侵許多備受矚目人物的電子郵件信箱,包括柯林.鮑爾(Colin Powell)、洛克斐勒家族,以及前總統小布希的妹妹等人。

古奇法二點零開始展現出一個狂妄自大的東歐電腦叛客(cyberpunk)人格面具,他崇拜最初的古奇法、愛德華.史諾登,以及朱利安.亞桑傑(Julian Assange)這樣的人物。「我個人認為,我是全世界最優秀的駭客之一。」他在一段常見問題說明裡寫道。

當群擊堅稱古奇法二點零只是一層容易拆裝的偽裝,意圖掩蓋民主黨全國委員會入侵幕後的俄國國家駭客,古奇法二點零以含糊其詞的否認回嗆:「他們就是搞砸了!他們什麼都證明不了!」他寫道:「我聽到的就是一堆廢話,無憑無據的理論和某人的估計。」

但實際上,俄國人的假面具幾乎馬上露出破綻。英國情報機構政府通信總部(GCHQ)的一名前任員工麥特.泰特(Matt Tait)發現,俄國人發表的第一份文件——川普敵情報告檔案裡,包含了俄語的格式化錯誤訊息。不僅如此,檔案裡的詮釋資料(metadata)顯示,它曾在一臺電腦上以「費力克斯.捷爾任斯基」(Feliks Dzerzhinsky)這個使用者名稱開啟過。這條線索近乎滑稽地透露了實情:捷爾任斯基是蘇聯祕密警察的創始人,他的銅像一度矗立在蘇聯國安會總部大門前。

當科技新聞網站《主機板》(Motherboard)經由推特聯繫上了古奇法二點零,而這名駭客同意經由即時訊息受訪,《主機板》記者羅倫佐.弗朗切斯奇・比奇耶拉伊(Lorenzo Franceschi Bicchierai)機智地拋出一連串英文、羅馬尼亞文和俄文問題,讓他措手不及。古奇法二點零用結巴的英文和羅馬尼亞文回答問題,並抗議自己不懂俄文。弗朗切斯奇——比奇耶拉伊隨後向羅馬尼亞人和語言專家出示這段對話記錄,他們指出了語言學的小細節,顯示古奇法二點零的書寫方式就像俄國人,他的羅馬尼亞文答覆則顯然是從Google翻譯找來。俄國駭客們看來甚至不想為了他們的幌子,費心招募一個真正的羅馬尼亞人。


古奇法二點零的不攻自破幾乎無關緊要。駭客們將川普的敵情研究文件寄給新聞網站《高客》(Gawker),該網站對這個檔案發表一篇報導,獲得五十萬次點擊,從而剝奪了民主黨人挑選適當時機揭發川普醜聞的能力。15不久,維基解密遵照先前承諾,也開始規律地持續公開駭客竊取的資料;畢竟,朱利安.亞桑傑的機密外洩團隊,向來不太講究自己的「解密」資料是來自吹哨者還是駭客。

如今有了維基解密確認可信度,包括《紐約時報》、《華盛頓郵報》、《衛報》、《政治人》(Politico)、BuzzFeed、《攔截》(The Intercept)在內的各個新聞媒體,也開始跟進報導這些文件。被揭露的內容十分真實:結果顯示,民主黨全國委員會私下偏袒候選人希拉蕊.柯林頓(Hillary Clinton),將希拉蕊推定為民主黨總統候選人,而非其初選對手伯尼.桑德斯(Bernie Sanders),即使委員會自居為黨內中立仲裁者這一角色。全國委員會幹部暗中討論詆毀桑德斯的方法,包括針對桑德斯的宗教信仰,以及桑德斯陣營人員涉嫌竊取希拉蕊陣營選民資料一事策動公開質問。

全國委員會主席黛比.沃瑟曼.舒爾茲(Debbie Wasserman Schultz)遭受最沉重的打擊。駭客竊取的電子郵件揭露,她私下在信中寫到桑德斯的競選總幹事是個「該死的騙子」,桑德斯「當不上總統」。被竊取的電子郵件首度公開剛過一個月,她就辭職下臺。

但駭客們並不滿足於依靠維基解密,民主黨全國委員會也不是他們唯一的受害者。隨後數月間,古奇法二點零竊取的民主黨全國委員會電子郵件,也開始出現在一個名為華府解密(DCLeaks)的新網站上,那兒還有其他被竊取的電子郵件,對象從共和、民主兩黨國會議員,到敦促對俄國入侵烏克蘭採取更積極應對的空軍將領菲利普.布瑞德洛夫(Philip Breedlove),不一而足。儘管華府解密試圖表現出另一個吹哨者「解密」網站的模樣,但資安公司ThreatConnect很快就確認它是俄國奇幻熊駭客的掩護身分之一,根據在於該網站的目標資料與已知的奇幻熊入侵行動互相重合,華府解密的註冊資料也留下了線索。

要是還有誰懷疑奇幻熊幕後策動了這些連續發生的資料匯出行動,這份不確定性在二○一六年九月,也隨著該集團對世界反運動禁藥組織(World AntiDoping Agency)發動新一波攻擊而煙消雲散。該組織在俄國多項運動代表隊被查獲普遍而有計畫地使用體能增強藥物(Performanceenhancing drug)之後,提議禁止所有俄國運動員參加那一年的夏季奧運會,普亭政府對此大發雷霆。為了報復,奇幻熊集團竊取並公布了網球明星威廉絲姊妹(Venus & Serena Williams)、體操選手西蒙.拜爾斯(Simone Biles)的病歷,表明她們也同樣使用了可以被解讀成(持續)提供運動優勢的藥物。這一次,他們明目張膽地嘲弄批評者,將這些外洩的內容,發布於貼滿美工圖和熊的GIF動圖的奇幻熊網站上(Fancybears.net)。

奇幻熊崛起成了情報分析師所謂「影響力行動」(influence operations)自以為是的實行者。更確切地說,他們正在運用俄國情報機構一種由來已久的做法,叫做「黑材料」(kompromat):從蘇聯時代開始,獲取政治對手的不光彩資訊,並以策略性的洩露及誣衊運用這些資訊,操弄公共輿論的這套傳統。

沙蟲駭客們是隱蔽且專業的破壞者。反之,奇幻熊看來卻是無恥而粗俗的宣傳工作者。這時他們為普亭服務,任務是幫助川普當選總統。

二○一六年美國總統選舉,並非奇幻熊第一次運用自己的技術影響選舉。二○一七年五月,多倫多大學一個名為公民實驗室(Citizen Lab)的資安研究員團隊找到了鑑識證據,證明奇幻熊集團同樣幕後操縱了二○一四年入侵烏克蘭中央選舉委員會的親普亭激進駭客團隊網路金鵰。如同古奇法二點零和華府解密,網路金鵰不過是另一個幌子。

奇幻熊集團使用的技術多半簡單。相較於沙蟲二○一五年耶誕節斷電這類行動,它們實際上是原始的。但奇幻熊最粗陋的手法之一,卻也成了最有效的手法:一個粗製濫造的假冒登錄頁面。

十月七日,維基解密開始發布新一系列的外洩資料,這次直接從希拉蕊競選總幹事約翰.波德斯塔(John Podesta)的電子郵件帳號竊取而來。前一年三月,波德斯塔被一封基本的釣魚郵件騙到,那封信將他導向一個假造的Gmail網站,要求他提供使用者名稱和密碼,他也如實交出。當然,這個網站是奇幻熊設下的陷阱。

維基解密在隨後數週內流出了取自這個陷阱的大量希拉蕊陣營黑材料。被揭露的內容包括希拉蕊向華爾街聽眾不公開演說的八十頁嚴格保密講稿。其中一段內容提到,政治人物需要擁有「公」與「私」兩種不同立場,她的批評者將這段話解讀為她承認了欺騙選民。另一段內容似乎呼籲「開放邊界」,激怒了主張強硬限制移民的人們。媒體每天的轟炸令希拉蕊陣營在選戰倒數時刻難以招架。

波德斯塔遭受駭客攻擊,也消除了對於奇幻熊作用的最後一絲疑慮:資安公司安全工程發現,欺騙了波德斯塔的那個假冒Gmail網站網址,是由縮短網址服務Bitly的一個帳號所創造,它也同樣曾用來對付奇幻熊的其他數百名受害者,從烏克蘭官員到專攻俄國問題的學者及記者。

當然,川普對俄國介入的證據置之不理,並沉湎於傾瀉而來的大量醜聞。「我愛維基解密!」他在一場造勢上宣告。而在另一個場合,他嘲弄著說,希望俄國駭客也入侵了希拉蕊架設在家中、引發爭議的私人電子郵件伺服器,並請求駭客再把她的電子郵件公布幾千封。但大多數時候,川普則以虛無主義的語氣,否認這些洩密事件由克里姆林宮促成,他反倒暗示駭客同樣很可能是中國人或某個「體重四百磅」的獨行俠,或者民主黨入侵了自己人。川普的混淆幫了奇幻熊大忙:即使在數月之後的二○一六年十二月,仍然只有將近三分之一的美國人相信俄國干預美國大選,還有百分之四十四的人懷疑,四分之一的人無法確定。

克里姆林宮是否真正期望採取影響力行動改變二○一六年美國大選結果,始終無法確知。自從希拉蕊.柯林頓在歐巴馬政府的國務卿任內,普亭對她的仇恨就幾乎無法掩飾,他或許就只想讓她的總統任期揹上不堪負荷的政治包袱。當然,俄國官員一再否認與攻擊行動有任何關聯。但無論他們設想過什麼結果,他們都成功讓美國民主的核心陷入混亂。

二○一六年十月,我在曼哈頓金融區的一處公園,和群擊公司首席技術官季米特里.阿爾佩羅維奇(Dmitri Alperovitch)見面時,距離投票日只剩數週時間,他看來幾乎不由得要讚賞這些駭客的成效,就在四個月前,他的公司首先揭發了他們的行動。

「我想,他們已經獲頒勳章了。」他懊惱地說:「他們的成果完全超乎想像。」事實上,奇幻熊真正的光榮時刻再過三個星期才到來:唐納.川普贏得美國總統選舉。


J.麥可.丹尼爾在二○一二年成為歐巴馬政府專責網路安全工作的最高階官員之後,首先採取的重大措施之一,就是在二○一三年飛往莫斯科,敲定一條「網路熱線」(cyber hotline)。這條熱線運用半世紀前為了防範核戰帶來末日而首創的美蘇協定,旨在成為白宮與克里姆林宮之間傳遞網路攻擊相關訊息的公開管道,是為了避免誤解導致不必要的對立升高和開戰,而設置的某種安全閥。丹尼爾將這個安排描述成一套「美化的專用電子郵件系統」。

二○一六年十月七日,丹尼爾在任內第一次,也是唯一一次使用這條熱線發送訊息給普亭,回應俄國明目張膽的選舉干預。他重新表述了這則訊息:「我們知道你們在進行這種活動。停止。住手。」同日,國土安全部和國家情報總監辦公室發布公開聲明,表示美國情報部門已正式達成共識,如同網路安全研究員四個月來所指出的,認定俄國政府是竊取電子郵件的源頭。

最後,在歐巴馬總統任期屆滿前夕,他的政府將回應升級,加入了制裁俄國情報部門的新措施,以懲罰他們干預選舉的駭客行徑,實際上是要阻止他們與美國公民及公司行號從事任何生意。這道命令將三十五名俄國外交官逐出美國,並沒收美國境內兩處俄國政府建築群。戰略與國際研究中心(Center for the Strategic and International Studies)專攻網路安全的研究員詹姆士.路易斯(James Lewis),將美國政府的反應描述為「冷戰以來對俄國間諜行動的最大規模報復措施」。

但對於俄國的斷電攻擊這一問題,白宮通往克里姆林宮的熱線卻始終不發一語。沙蟲送出了不言自明的訊息。這時它可以繼續進行,不受懲罰。

書籍介紹

本文摘錄自《沙蟲駭客:全球最具侵略性和破壞性的克里姆林宮黑客組織,如何掀起新時代網路戰爭》,時報出版

作者:安迪.格林伯格(Andy Greenberg)
譯者:蔡耀緯

  • momo網路書店
  • Readmoo讀墨電子書
  • Pubu電子書城結帳時輸入TNL83,可享全站83折優惠(部分商品除外,如實體、成人及指定優惠商品,不得與其他優惠併用)
  • 透過以上連結購書,《關鍵評論網》將由此獲得分潤收益。

榮獲美國海外記者俱樂部(OPC)卓越獎
美國網路書店Amazon編輯選書
Amazon.com「俄羅斯與前蘇聯政治」、「電腦安全與加密」暢銷第一名

2014年,駭客攻擊美國、北大西洋公約組織、東歐電網,引發史上第一次由駭客發動的停電事件。2017年夏天,這些攻擊達到巔峰,名為NotPetya的惡意軟體滲透、癱瘓全球幾間大公司,包括藥品製造商、軟體開發商,以及貨運公司。這波攻擊的震央烏克蘭,自動提款機當機,鐵路與郵政系統關閉,醫院陷入黑暗,造成百億美元損失,這是全球歷來最龐大、最嚴重的網路攻擊。

這波攻擊背後的駭客組織「沙蟲」(Sandworm),被稱為最危險的網軍。他們為俄羅斯軍方情報局服務,是一支技巧高超、由國家支持的駭客網軍,政府與私人企業、軍方與民間單位,都是他們攻擊的對象。

本書作者格林伯格(Andy Greenberg)是美國《連線》(Wired)雜誌資深記者,深入報導關於安全、隱私、資訊自由、駭客文化等議題。他為《連線》寫的烏克蘭網路戰的封面故事,獲得傑拉德伯國際報導獎(Gerald Loeb Award for International Reporting)。

他在本書述說的是牽涉全球、令人不寒而慄的故事,探討散播惡意程式的駭客如何威脅政府與企業的安全。本書不僅揭露俄羅斯全球數位攻勢,更要告訴讀者:這個時代的戰爭不再發生在戰場,數位與實體衝突、戰爭時期與和平時刻的界線,已經開始消弭,全世界都將無法倖免。

沙蟲_立體書封
Photo Credit: 時報出版

責任編輯:翁世航
核稿編輯:潘柏翰