【資安團隊TeamT5專訪】中國資訊戰手法升級 「駭客加入戰局」偵測難度高  

【資安團隊TeamT5專訪】中國資訊戰手法升級 「駭客加入戰局」偵測難度高  

記者 何蕙安/報導 

從2018年至今,來自中國的惡意不實訊息威脅不斷增長,惡意行動者利用社群平台大量散布不實訊息與仇恨言論,一系列的資訊戰行動到年初的總統大選達到高峰。台灣資安團隊TeamT5觀察,證據顯示,相關行動在總統大選後仍持續升級。

今年7月下旬,TeamT5 偵測到中國支持的「進階持續性滲透威脅」行動(Advanced Persistent Threat,簡稱APT)出現在對台資訊戰中,目標在詆毀台灣情報單位與政治研究單位的公信力。

TeamT5網路威脅分析師張哲誠與Silvia Yeh日前接受台灣事實查核中心專訪,分享兩人對於中國資訊戰的多年觀察,包括偵測難度高、資訊戰手法升級等挑戰。

「2016年俄羅斯透過社群平台干預美國大選」行動,啟發台灣資安團隊TeamT5開始專注中國資訊戰行動。TeamT5成員張哲誠與Silvia在今年陸續發表三篇資訊戰白皮書,分別從台灣大選中國在防火長城內的數位政治宣傳、以及中國的社群操弄等主題解析中國資訊行動,相關成果也於近日在日本最大資安會議「Code Blue」上分享。

駭客加入資訊戰

儘管「資訊戰」(Information operation)已經是一個很普遍的概念,但廣義的資訊戰主要是透過政治宣傳與不實訊息等內容進行操弄與控制,較少見駭客行動的介入。

在10月中最新發布的〈資訊戰白皮書三部曲:中國的社群操弄〉,TeamT5揭露了一個可能是首次被偵測、來自中國「進階持續性滲透威脅」(下稱APT)行動者發動的假新聞攻擊。

所謂的APT,可以理解為駭客攻擊,但通常特指背後有國家支持的駭客行動。他們實施長期、具針對性的網路攻擊,對象包括其他國家的關鍵基礎設施,蒐集具高度敏感性的機密數據。

白皮書指出,今年7月,台灣PTT論壇八卦板有數個帳號接連發布關於許多公務機關使用的即時通訊軟體「揪科」(Juiker)與「中科院」被駭的消息,PTT發文並稱許多政府與軍事機密資訊被洩漏;其中一個PTT帳號甚至貼出了號稱是被竊取的軍事檔案擷圖。


圖1:揪科事件中,疑似帳號被盜的貼文/擷自TeamT5資訊戰白皮書三部曲

TeamT5比對這些PTT發文者的IP位置,發現至少有20個台灣IP與50個PTT用戶帳號遭到控制或盜用。據帳號所有者的回報,這些帳號疑似遭到遠端登入,甚至有用戶眼睜睜地看著自己的帳號自動發文。

其中,至少有一個IP符合某個中國支持的APT團體使用的中繼站。該團體曾在2017年攻擊台灣科技公司,而被TeamT5追蹤至今。


圖2:揪科事件中,惡意不實訊息行動者的貼文情況。其中211.23.164.88的IP位置符合TeamT5追蹤的中國APT團體使用的中繼站/擷自TeamT5資訊戰白皮書三部曲

對於駭客與資訊戰的結合,Silvia強調,「這會是最糟的局面」。一般的APT攻擊通常採「駭取與洩漏」(hack-and-leak)的手法,重點在於公開洩漏機密資料;但一旦駭客進入資訊戰,行動者不僅握有更強悍的網路攻擊手法與資源,與社群操弄的結合會讓防守方更加棘手,增加國家安全隱患。

矛頭指向「外國勢力干預」  激發中國網民愛國行動

在稍早推出的白皮書二部曲中,TeamT5試圖分析中國如何透過界線模糊的言論審查制度與數位政治宣傳(Digital propaganda),將「從外交官到9億草根網民,都成為中國網軍行動的一部分」。

白皮書指出,從2019年香港示威到2020年COVID-19疫情,中共的全面控制持續上升。為了合理化其獨裁的爭議,中國政治宣傳機器製造了一個國家敵人——美國,將所有對中國的批評都轉化為「外國勢力干預」,激起了網民的愛國之心。

「我們的判斷是,很多所謂中國水軍的攻擊,多數是中國網民自主的行為。」長期研究中國防火長城(Great Firewall)的張哲誠表示,中國防火牆內營造出的網路環境,無形中塑造中國網民的行為,並傷害到周邊國家,而台灣首當其衝。

2019年8月香港「反送中」示威如火如荼之際,一個匿名中國網站「香港解密」發起「肉搜」香港示威者的活動,指控後者是麻煩製造者與外國代理人。該活動在中國官媒的大量轉發與宣傳下,成功動員許多愛國的中國網民投入行動。

「中國資訊戰模式」擴散海外社群平台

TeamT5的白皮書三部曲則將焦點轉向了海外:由於「牆內」的資訊操弄已爐火純青,中國正試著將其模式複製到海外。

張哲誠指出,中國對外資訊戰可以略分為檯面上(Overt)與檯面下(Covert)的行動。檯面上由國營媒體、外交官與使館隊、共青團與中共統戰部公開政治宣傳;檯面下的資訊行動則間接透過網紅、內容農場、行銷公司與殭屍帳號等媒介帶風向與放大「親中」聲量。 

由於檯面下的資訊戰透過層層外包,難以直接追蹤到中國政府,使得整體行動上更具侵略性,包括散布不實訊息、陰謀論,與前述的「肉搜」行動(Doxxing)等。

TeamT5觀察到,在主流社群平台上,許多內容農場與殭屍帳號(Spam botnet)持續推播美化中國鎮壓香港示威、批評美國總統川普陣營等親中內容。這些行動有幾個特徵:內容直接複製於中國官媒或中國社群平台微博,且相同的內容大量跨平台流傳。

Silvia指出,一些社群貼文除了符合上述特徵,且發文時間與內容完全相同,疑似來自自動發文的殭屍帳號;帳號的大頭照可能從網路論壇或是暗網上取得,有時甚至有亞洲臉孔搭配上不相符的外文名字。

各大社群平台也偵測到同樣的現象,包括推特Google臉書今年都先後以協同性操控行為、散布不實訊息為由,移除了許多中國政府有關連的假帳號或頻道。

Silvia與張哲誠也提醒,中國在過去幾年積極斥資耕耘與滲透社群平台,爭取在海外傳統媒體亮相。以臉書為例,中國四大官媒《環球衛視(CGTN)》、《中國日報》、《人民日報》與《新華社》占據了全站前四大熱門媒體粉絲頁,各有超過800萬追隨者;其中龍頭《環球衛視》更有1000萬以上的粉絲。作為對比,在2014年,四頁面的粉絲皆未超過300萬。 

「(這些中國官媒粉絲頁)因為有眾多追隨者,可能使其乍看之下具有可信度與真實性,讓用戶傾向相信他們發布的內容。」Silvia說。


圖3:在全球新聞媒體粉絲頁排行中,前五名清一色為中國官媒,包括《環球衛視(CGTN)》、《中國日報》、《人民日報》、《新華社》與《環球時報》,名列前十的還有第七名的《中央電視台》。/擷自TeamT5資訊戰白皮書三部曲 

中國資訊戰手法不斷升級 假帳號難以辨識 

長期關注與追蹤中國資訊戰行動的兩人坦言,最大的挑戰在於歸因與證據搜集。

「檯面下的資訊戰將會愈來愈大,手法也會愈來愈精緻。」張哲誠說,儘管社群平台已頻繁掃蕩假帳號與封鎖內容農場網站,許多行動者仍不斷註冊新網域和帳號,甚至刻意挑選與原名類似、或是與知名網站相似的網域名稱,捲土重來。 

儘管目前被發現的殭屍帳號發文手法仍相對粗糙,但Silvia也提醒,透過程式長時間的訓練與創造互動,假帳號也能學習到不同的發文模式,使其發文愈來愈多樣化與自然,「相信一般的使用者看到這些推文與專頁,都會傾相相信這些資訊。」 

張哲誠與Silvia自謙並非媒體識讀專家,但根據兩人多年的資訊行動偵測經驗,或許可以給社群平台用戶一些建議。

「時時刻刻都要留意消息的來源」,Silvia表示,「如果發現資訊來源跟中國官方密切相關,或是看到沒有署名的內容,就要有所警覺。」 

張哲誠則建議用戶在瀏覽網站時,要注意網域名稱是否可疑,以及網站頁面排版是否與其他網站類似(許多內容農場都使用同樣的模板)。他強調,社群操弄很關鍵的一點是讓不實訊息在同溫層流竄、放大聲量,因此建議不要轉發內容農場的內容。 

參考資料

TeamT5〈資訊戰白皮書三部曲:中國的社群操弄〉2020.10.15

TeamT5〈資訊戰白皮書二部曲:中國防火長城內的數位政治宣傳〉2020.07.15

TeamT5〈資訊戰白皮書:2020台灣大選觀察〉2020.03.18

Twitter Blog <Disclosing networks of state-linked information operations we’ve removed> 2020.06.12

REUTERS <Google pulls 2,500 China-linked YouTube channels over disinformation> 2020.08.06

FACEBOOK <Removing Coordinated Inauthentic Behavior> 2020.09.22