原標題：烤仔看世界 | 越南黑客的“生死符”

烤仔看世界

烤仔將通過翻譯海外權威媒體、作者們有趣、有料的文章，與你分享區塊鏈、金融、科技等行業的逸聞趣事，爲你定格全世界的精彩。來和烤仔一起漲姿勢，看世界吧！

作者：

Hakan Tanriverdi, Max Zierer, Ann-Kathrin Wetter (BR), Kai Biermann, Thi Do Nguyen (Zeit Online）

一羣越南黑客多年來一直在系統監視持不同政見的人，監視範圍包括了德國。巴伐利亞廣播公司（BR）和德國《時代週報》的調查顯示，受害者感覺德國政府棄他們於不顧。

在收到警告之前，Bui Thanh Hieu 就已經支付了 200 歐元的出席費，準備在斯圖加特附近地區的一次會議上發言。然而，隨後便有人警告他：越南特工可能已經潛入了這次活動。Bui Thanh Hieu 是越南最知名的博主之一。大多數德國人都知道越南是個度假勝地，有着漂亮海灘和美味佳餚。Bui 則記錄了越南的另一面：一個恐嚇批評者的一黨制國家；一個容許腐敗、官僚專橫的政權。

對越南人而言，“新聞自由”只是個看得見摸不着的概念，而 Bui 拍攝了警察用警棍毆打抗議者的畫面，呈現給了越南觀衆。據他所言，他因爲自己的工作被安全部隊拘留了“大概十幾次”。2013 年，他逃往德國，此後，Bui Thanh Hieu 一直在柏林生活和工作。他在 Facebook 上有幾十萬粉絲，並自稱是“遣風者”。當然，他想回家，但他在接受採訪時說，“如果我回去就只能蹲監獄”。他還說，他的父母被叫到了警局，警察辱罵他們沒有好好教育孩子。

越南戰爭結束後，數十萬越南人因飢餓和恐怖政權而逃離祖國。一些流亡海外的越南人組成了一個協會，並自 2002 年開始每年舉行聚會，聚會地點有時在法國、有時在美國，2018 年則在斯圖加特附近。在這四天的聚會里，他們暢談越南的光明未來。他們希望，在未來，持不同政見的人不會被關進監獄，不用時不時遭受酷刑。

來自黑客的電子郵件

Bui 一收到警告便取消了行程。他擔心自己可能被人監視了，越南政府可能將他們的觸角伸到了德國。然而他不知道，黑客的觸手已經伸向了他的郵箱。

Bui 很謹慎，他料到黑客盯上他已經有一段時間了，但這一次，他們是有備而來的。這些黑客顯然知道他要去參加斯圖加特的會議，而且利用這一點來引他上鉤。會議前六週，他收到了一份邀請函。這是黑客發來的一封電子郵件，裏面附有惡意軟件。他點了進去。

Bui 在 2018 年 12 月 12 日收到了這樣的郵件。發件人地址與原地址很相似，但是多了“th”兩個字母。附件下載格式不正確，並沒有顯示預覽圖，而只顯示了“文件名.docx”和一個鏈接。點進鏈接下載的不是斯圖加特會議的邀請函，而是惡意軟件。本圖地址和鏈接均經過處理，隱藏了部分字母。

監視之下，孤立無援

這種網絡攻擊經過了周密的準備和時間安排，受害者只要點兩下鼠標就會中招，因此對持政治異見的人來說非常危險。BR 和《時代週報》進行了爲期幾個月的研究，結果發現受害者衆多，其中有反對派成員和人權活動家，他們許多人在德國感到孤立無援。如果他們運氣好的話，信息安全專家會通知他們，網站被黑客攻擊了，但除此之外，德國政府通常不會聯繫他們。研究結果還顯示他們已無計可施了。網絡間諜案中幾乎沒有任何既定程序來幫助持不同政見的人。

與受害者、調查人員和德國最高情報部門負責人等二十多人進行對話後，我們描繪出這羣黑客的大致面貌，並推測他們的目的是維護越南的戰略利益。研究還揭露了黑客們犯的錯誤。因此，我們的記者團隊成功找出了哪些網站被用來傳播惡意軟件，繼而發現黑客多年來一直試圖監視着受害者。

“遣風者”擔心線人暴露

兩年後，也就是 2020 年夏天，Bui 在接受記者採訪時才得知，黑客給他發來了假的會議邀請函郵件。他首先擔心的是自己的線人。“如果我的筆記本里有惡意軟件，政府就會知道是誰給我提供這種信息的。”這也將殃及執政黨和國家機關中的線人，置他們於危險之中。一位信息安全專家同意對他的電腦進行惡意軟件掃描，記者團隊也爲他們倆建立了聯繫。對 Bui 來說，最重要的是要以防萬一，這個專家要與越南無任何關聯。

“遣風者” Bui Thanh Hieu。© Felix Burchardt，《時代週報》Bui 帶着一小隊人來到了會場。德國幾乎每個城市都有幫助他的人，而柏林也不例外。當 Bui 從一位支持者的車上下來時，陽光正好。他的揹包上寫着“放輕鬆”，這是 Bui 的信條。他整了整頭上的鴨舌帽，給自己點了一支菸。一個支持者給他安排了一位能把電腦術語翻譯成越南語的人。

Bui 把筆記本電腦和密碼交給信息安全專家時，專家保證至少在未經協商的情況下不會複製任何文件。他說他大約一個小時後準備就緒。Bui 的面部表情很少。在兩次會議中，他的臉上只有一瞬流露出了內心情感——那一刻，他得知有黑客在監視他的電腦。

網絡攻擊留下蛛絲馬跡

要找出誰是網絡攻擊的幕後黑手也許很難，但也並非不可能，因爲網絡攻擊會留下蛛絲馬跡。原則上，這些痕跡是可以抹去的，但信息安全專家和情報部門有時會持續幾年追蹤這些黑客團體，更何況，黑客也會犯錯。

在 Bui 的案件中，這些痕跡指向了一個可能替越南政府行事的團體。專家們給這個團體起了很多名字，其中“APT32”和“海蓮”是最著名的兩個代號。Bui 與十幾位信息安全專家交談後一致認爲，這個越南團體在專門監視自己的同胞。

BR 和《時代週報》的記者團隊通過技術調查，證實了這一說法。記者團隊發現了數百臺被感染的電腦，暗示了黑客可能特別關注的目標人羣：越南公民。“海蓮”擁有一個裝備齊全的數字工具箱，用於放置惡意軟件。他們還用一些新鮮的手段從被監視的電腦中獲取數據。

“海蓮”給病毒下達指令，誘使用戶訪問一個預先設定的、屬於“海蓮”的網站。信息安全公司 ESET 發現，該網址的前半部分包含了重要信息，因爲那是黑客給所監視的計算機起的名字，有一些計算機名透露了比較多的信息，例如“asean”代表了“東盟”。“海蓮”一直在攻擊東盟的計算機，並在 2017 年成功侵入。可以得知，有一個與東盟無關的人物可能將他們監視的東盟計算機命名爲“asean”。

記者團隊評估了信息安全公司 Farsight 的數據庫。Farsight 在數據庫中詳述了域名和 IP 地址的關係。這些數據是多年以前收集的，顯示了哪些計算機受到了黑客的監視。記者團隊通過這個數據庫接觸到了成百上千的計算機名，其中只有 80 個指向了擁有越南姓名的用戶。有一些計算機名中包含的縮寫顯示這些用戶爲國家機關效力。

任務廣泛

Adam Meyers 是信息安全公司 Crowdstrike 的副總裁，主管情報業務，他多年來一直在監控這個越南黑客團體。“他們自 2012 年以來一直很活躍，頻繁攻擊了居住在中國、越南、柬埔寨、菲律賓或德國的人。”他說。他還補充，這些黑客的目標是能源、金融、酒店和汽車行業，也包括政府、媒體和人權組織。“我們所談到的這個黑客團體不是在父母家地下室裏發動黑客攻擊的六個無名小卒，而是一個軍事組織。我們談論的是計算機網絡操作的最重要實體，一個來自健全的民族國家、能夠完成廣泛任務的組織。”據另一位不願提及姓名的 IT 安全專家稱，“海蓮”是“全球最活躍的五個黑客團體之一”。

沒有明確的證據顯示越南政府向該組織下達了命令，但這個猜測有跡可循。有人要求越南駐柏林大使館就此事發表評論，而他們堅決否認越南是網絡攻擊的幕後黑手，並拒絕任何此類指控：“網絡攻擊和對威脅網絡安全的行爲必須受到譴責和依法嚴懲。”大使館還說，越南準備與國際社會合作，以防止未來的攻擊。不過，一位效力於德國安全部門、關注各國及其黑客的人告訴 BR 和《時代週報》的記者：“在越南這樣的國家，一個黑客集團如此大規模地發動攻擊，不可能沒有政府的授意。”

讓我們回到 Bui Thanh Hieu 目瞪口呆的那一刻。信息安全專家探查了他的電腦，尋找是否有黑客的蹤跡，然後說出了一個讓他喫驚的答案。他認真地聽着翻譯的話，似乎每一個細節對他來說都很重要。Bui 想知道他是否需要警告他的線人、安全專家是否檢查過他的郵箱。他說，就在幾個月前，他又發現了可疑的電子郵件。

專家沒有發現任何惡意軟件。他聞言後，似乎很驚訝，看上去他堅信會有黑客的蹤跡。畢竟 Bui 強調他打開了郵件，這應該足以讓黑客侵入他的電腦，但是專家一無所獲。專家懷疑黑客抹去了他們的痕跡。他還說，他需要更多的時間進行進一步的分析，幾個小時可能搞不定，得用上好幾天。此刻，Bui 鬆了一口氣。

網絡間諜活動更容易撇清罪名

Bui 把沒有受感染的筆記本電腦塞進揹包，聊起了他在德國的生活。“我不知道這裏安不安全，但無論如何，這裏比越南要安全得多。如果我在德國不安全，在任何地方都不會安全。”

現在他已經知道，僅在 2019 年，他就收到了三封來自“海蓮”的郵件，這意味着他們三次嘗試發動攻擊，監視他的筆記本電腦。在這三起事件中，他的筆記本上也沒有留下任何痕跡。但這些事件表明，黑客在打探他的祕密。即使 Bui 到目前爲止運氣還不錯，但好運無法永遠伴隨他。

網絡間諜活動使各國能夠跨越國界監視他們的“眼中釘”。與其訓練特工潛入飛機艙、在行政樓層神不知鬼不覺地放竊聽器，不如用互聯網線路發送病毒就可以了。“你不需要全方位的監控，”一位追捕政府黑客的信息安全專家說，“如果你想知道別人在說什麼，打開手機上的麥克風就行了。”

網絡間諜另一個優勢是，他們比傳統的特工更容易撇清指控。傳統特工的行動一旦公開，就會引起國際醜聞，2017 年就發生了這樣的事情。越南前官員和商人 Trinh Xuan Thanh 與女友在柏林大蒂爾加滕公園散步時，據傳來自越南特勤局的特工從一輛麪包車上跳下來，把兩人拖進了車裏。他們以抓捕外逃德國的貪官爲由對兩人進行了綁架，觸犯了國際法，還導致 Thanh 女朋友手臂骨折，Thanh 的手機也在柏油路上摔得四分五裂。

Trinh Xuan Thanh 在黨內精英階層的權力鬥爭中落敗，因此離開了越南。他在越南備受憎恨，甚至連民衆也唾罵他，認爲他是一個腐敗的政客，成天開着一輛 25 萬美元的雷克薩斯在河內招搖過市。他被綁架後不久，就出現在越南國家電視臺。他在河內被判處了終生監禁。

這次行動無論在經濟上還是外交上都可能付出了很高的代價，越南和德國的外交關係也因此中止。

Matthias Schulze 在德國智庫德國國際政治和安全事務研究所研究黑客攻擊，他表示，在網絡世界中，這種攻擊引起的關注較少，安保水平也不是很高。“這就爲獲取信息敞開了大門，網絡攻擊的種種“好處”幾乎在慫恿着各國成立黑客組織。這非常划得來，低成本高回報。”

黑客目的地：慕尼黑目標：寶馬公司

自 2019 年春季開始，黑客就通過越南和寶馬公司的貿易往來對寶馬實施網絡攻擊。越南目前正在建設汽車工業，於是發動機從慕尼黑的寶馬公司不斷運往河內，而黑客也不斷從河內攻向寶馬公司。BR 的調查顯示，這場攻擊持續了幾個月。但黑客還沒侵入慕尼黑的網絡、帶走敏感數據，就暴露了。雖說不能百分百確定是工業間諜所爲，但此種可能性很大。寶馬公司至今還沒有發表任何公開聲明。

BR和《時代週報》的另一項技術分析揭示了黑客的活躍程度。因爲“海蓮”可能犯的一個錯誤，我們可以看到黑客爲了傳播其惡意軟件而設立的數百個網站。

用戶瀏覽網站之前，瀏覽器會檢查用戶身份。通常每個網站都有自己的數字 ID，即安全證書。如果兩個不同的網站擁有同一個證書，那麼他們就屬於同一個人，這就是“海蓮”露出馬腳的地方。記者團隊在信息安全公司 DomainTools 的數據庫中發現，“海蓮”有大概 280 個網頁用了同一個證書，網絡安全公司 RiskIQ 的專家也查探到了這個證書，並且也追蹤到了“海蓮”。

柏林——“間諜之都”

這裏是柏林一棟不起眼的辦公樓：窗簾拉得嚴嚴實實，溫度很低，穿着合身西裝的保安戴着耳麥守在門口。這座大樓就是德國聯邦憲法保衛局，房間裏擺放着巨大的會議桌，與採訪的人數之少形成鮮明對比，桌上擺放着一臺的電子設備，這是 BR 和《時代週報》的記者可以帶進門的唯一一臺電子設備，手機和筆記本電腦只能寄存在門口。

德國最高安全代理人、聯邦憲法保護局主席 Thomas Haldenwang 平靜地評價情報部門“比以前更健全了”。幾十年來，間諜故事大多隻存在於電影裏，但現在在網絡攻擊事故會議上，德國極端主義和恐怖主義聯合防禦中心相關工作組越來越喜歡用“間諜只是傳說”作爲藉口。

Haldenwang 最近宣稱柏林是“間諜之都”。他在接受 BR 和《時代週報》採訪時解釋說，德國是歐洲中部的重要國家，因此外國有關部門對德國政治非常感興趣。“德國是國際關係的廣泛參與者，許多國家的僑民都住在這裏”。2016 年土耳其政變失敗後，土耳其居倫運動的支持者受到了監視，而伊朗則試圖恐嚇反對派成員。

同時，正如 Haldenwang 所說，網絡攻擊已經成爲許多外國機構的“首選手段”。聯邦憲法保衛局從 2014 年開始觀察“海蓮”的黑客，他們注意到，這羣黑客“對某些具有越南背景的羣體感興趣”。Haldenwang 說：“這是我們認爲與越南有明顯關聯的另一佐證”。然而，沒有明確的證據指向越南，尤其是越南的情報部門。

程序不完善

Haldenwang 描述了反間諜工作的一個核心問題。當“海蓮”活躍於德國時，聯邦憲法保衛局向國內汽車行業發出了警告。德國政府和業界之間有一套完善的程序。“當異見人士被監視時，情況就不同了。如果我們察覺到異見人士受到威脅，我們會與警方討論進一步的措施。”警方負責立即實施保護。

然而，網絡間諜活動往往是一種準備活動。我們不能從一封電子郵件中看出網絡間諜活動是否會發展成真正的威脅。據 Haldenwang 所說，協助警方是聯邦憲法保衛局的任務之一。然而，他說，“沒有一個警察局能夠晝夜守護這一大羣人”。

幾個月過去了，警察還沒有答覆。

Vu Quoc Dung 就是一個典型的例子。如今，他懷疑自己能否依靠德國政府。幾個月前，他得知自己被黑客盯上了，但是一直沒有人幫助他。Vu 是越南人權運動網站“否決”網絡的董事。他在歐洲議會前發言、會見了德國聯邦議院的政治家，還會見了德國總統 Frank-Walter Steinmeier。

人權工作者 Vu Quoc Dung。© BR

2020 年 5 月 12 日，朋友們問 Vu，他是否發了一封郵件，說了些越南政府的小道消息。電郵地址跟他的很相似，還有他的簽名，但那封電郵是“海蓮”發出的，還發給了他的侄子和一位報道越南社會的德國《日報》記者。“否決”網絡提起了訴訟，然而幾個月來案件毫無進展。

Vu 的侄子 Huy 在工作時學會了識別含有病毒的電子郵件。“當我收到一個新的電郵地址發來的郵件，裏面還帶有附件時，我就很謹慎。”Huy 在電話採訪中說道。出於好奇，他寫了一封回信。不到兩個小時後，黑客居然回覆了——以所謂“Vu 舅舅”的身份——問他“咋了”。“我舅舅的語氣絕不是這樣的。”Huy 說。

專業黑客軟件“鈷襲擊”

信息安全公司 Volexity 的專家 Steven Adair 解釋，如果有人下載了黑客發送的文件，他們的技術人員就會安裝名爲“鈷襲擊”的專業黑客軟件。他分析了包含惡意軟件的郵件。“鈷襲擊”是一家美國公司的軟件，價格是在幾千歐元一年。該軟件框架非常強大，因此美國政府不得不同意將其出售給許多國家。專家們一接到企業的訂單，就會立即使用該軟件，以合法測試其信息安全性。

可以說，“海蓮”的黑客們也在測試政府和企業網絡的信息安全，儘管他們是主動和非法的。Steven Adair 說，如果他們得手了，就會把數據外流回到自己的服務器上。

Steven Adair 早已認識 Vu Quoc Dung。2017 年人權組織“否決”網站被黑客攻擊後，Adair 聯繫了他們。除了“否決”網站，黑客還佔領了 100 多個網站。“這些網站中的絕對大多數，有大約 80 到 90 個都與越南有關。” Steven Adair 解釋說。越南天主教徒的網站和一家當地新聞網站也成爲攻擊目標，同樣未能倖免的還有一家鋼鐵公司的網站，該公司的越南工廠給越南帶來了很大的環境問題。

Adair 分析了“否決”網站，並移除了黑客的工具。他對此解釋道：“他們爲網站的每個訪問者建立了一個檔案。”他估計，在每天 10 萬名訪問者中，只有 10 人可能會引起黑客的興趣。“一旦他們鎖定某個人，黑客就會改變網站的外觀。”例如，突然彈出一個谷歌登錄窗口。黑客就是這樣獲得了這些人的登錄數據，從而以他們的名義閱讀和發送電子郵件。

多年後，從他們發出的電子郵件可見，“海蓮”的黑客仍在針對 Vu Quoc Dung，這顯然是一起網絡間諜案。“我們將電子郵件的文本從越南語翻譯成德語，並詳細解釋了爲什麼我們提起刑事指控。”Vu Quoc Dung 說。但當 BR 和《時代週報》聯繫到他時，負責的警察當局回信說，這個案子最後是在詐騙部門處理的。警方顯然曾試圖通過電話以及電子郵件聯繫 Vu。然而，BR 和《時代週報》能夠發現，他們錯給黑客的地址發送了電子郵件。在記者提出要求後，警方邀請 Vu 再次接受筆錄。

“否決”網站正試圖在此期間保護自己，即使很可能徒勞無功，Vu 解釋說：“我不認爲我們作爲一個小組織，有可能抵禦一羣也許得到了國家支持的黑客。”在 Vu 看來，德國政府纔是罪魁禍首。“我們希望人權團體成爲攻擊目標時，國家或警察可以盡力保護它們。”

德國聯邦政府的任務

埃朗根-紐倫堡大學國際刑法和國際法教授 Christoph Safferling 和 Vu 持有相同的看法。他說，保護這些人是聯邦政府的任務，是憲法規定的義務。“如果我們想在德國進行公正的合作，就不能允許外國特務機構監視流亡者。”他還說，人們必須意識到問題的嚴重性：“這些人不是偶然來到這裏的外國人，他們是我們社會的一部分，必須能夠在這裏和平、自由地生活。”

“海蓮”的黑客們恰恰要阻止他們自由自在的生活，這也是他們名字的含義。2011 年，他們在開始活動時就給自己起了一個越南名字：Sinh Tu Lenh，暗喻着掌控生死。這個名字出自金庸小說中出現的“生死符”，而在越南，金庸武俠小說和電影很受歡迎。

使用這一符咒的人都能讓別人受制於他。受害者會遭受到極度的痛苦，而且在服從符咒主人後才能得到緩解。惡意軟件就是“海蓮”的生死符。黑客們就像小說人物一樣，控制着受害者，或者說，控制着越南政權抨擊者的鍵盤、屏幕、文件，直到他們乖乖就範。

作者：Conflux；來自鏈得得內容開放平臺“得得號”，本文僅代表作者觀點，不代表鏈得得官方立場凡“得得號”文章，原創性和內容的真實性由投稿人保證，如果稿件因抄襲、作假等行爲導致的法律後果，由投稿人本人負責得得號平臺發佈文章，如有侵權、違規及其他不當言論內容，請廣大讀者監督，一經證實，平臺會立即下線。如遇文章內容問題，請發送至郵箱：[email protected]