近年来,无所不在的骇客网路攻击,已让传统网路安全攻防有了进一步的延伸,扩展至认知安全的混合战,在今天(5/14)第一天举行的2024 CYBERSEC台湾资安大会上,长年追踪国家级骇客攻击的Google Cloud Mandiant,不仅向所有台湾与会者介绍他们观察到的攻击活动,并说明了台湾所遭遇的真实现况。
Dragonbridge锁定台湾已5年之久,大选期间发动更多针对人身攻击的舆论操作
关于国家级骇客组织发起的舆论影响行动(Information Operations),自2年前俄乌战事爆发,已成为全球资安界关注的一大重点,台湾民众对此议题更是不陌生,以大型民主指标研究Varieties of Democracy的资料为例,台湾从2013年以来,受到外国假消息攻击的情形就持续是全球第一严重,然而,鲜少将攻击行动与背后攻击者进一步追踪关联。
在台湾资安大会首日主题演说中,Google Cloud Mandiant Intelligence主席Sandra Joyce不仅针对一些重要的网路威胁态势示警,包括零时差利用攻击现在更常锁定边缘设备,滥用受害电脑内建工具执行攻击的寄生攻击手法(Living Off-the-Land)越来越多,同时还揭露了近期台湾持续面对舆论影响行动的威胁。
Sandra Joyce指出,Google Cloud Mandiant在全球看到了很多间谍活动,不只是美国,台湾也不例外,尤其是舆论影响行动,许多这类攻击活动都已经获得证实,而且仍然持续再进行。
例如,他们从2019年开始密切追踪中国骇客组织Dragonbridge,因为该组织的活动是聚焦在网路上发动舆论影响的网路攻击。而在2022年,Google就已经在YouTube、Blogger、AdSense等平台上,就删除了超过46,000个Dragonbridge的活动。
Sandra Joyce解释,这个代号为Dragonbridge的中国骇客组织,是在2019年首度被发现,当时该组织的锁定目标是,污蔑香港抗议者的名誉,并批评民主主义者。值得我们注意的是,不仅是针对香港,台湾民众也是他们针对的目标,并且已经有多次这样的攻击活动。
特别的是,Sandra Joyce在今日大会上,首次公开揭露了该组织的最新一波活动,是围绕著2024年1月我国的总统大选而来。
她表示,Dragonbridge这次散布的内容有几个主轴,包括:试图污名化一些公众人物,指控美国与台湾串通灌票等,还有一些活动是针对台湾年轻人而来,鼓励他们投票的同时也夹带批评特定政党,以及许许多多不同议题。
有哪些具体活动内容?Sandra Joyce以污蔑台湾总统蔡英文为例,举出Dragonbridge发动的3项操作手法。
首先,大规模散布一份300页、蔡英文秘史的抹黑内容,透过大量社群帐号上传、联播与分享这类内容,吸引好事之徒支持并转传,其次是散布私生子相关消息,第三是散布政府告密者有关的资讯。因此,这些抹黑内容都是由Dragonbridge发布,借由一系列的主题,来达到舆论影响台湾的目的。
尽管蔡英文总统不是2024大选参选者,但Dragonbridge这样的诋毁、抹黑,无非是冲著蔡英文总统与其政党的好感度而来。
Sandra Joyce强调,Dragonbridge这么做已经至少5年,尤其是在台湾总统大选期间,一些针对人身攻击的操作又会大幅增加,试图混淆民主选举的重要议题讨论,针对个人发动疑似或毫无根据的诋毁。
去年,Google也曾发布相关研究报告,揭露Dragonbridge的威胁行动。例如,美国联邦众议院议长裴洛西在2022年7月底公布可能访台后,Dragonbridge将焦点转向对裴洛西与其家人及财物的批评,到了8月,中国人民解放军在台湾周边进行军事演习期间,Dragonbridge再加强力道,上传中国解放军国际形象宣传片,以及呼吁台湾总统与其政治盟友投降的影片。
不只是台湾,Sandra Joyce强调,美国也受到这样的网路攻击威胁。例如,一个名为HaiEnergy的攻击活动,这项活动实际上是中国聘请一家公关公司来进行,进一步影响美国政治风向。特别的是,手法上还会利用新闻社的机制,将亲中内容扩散到美国合法新闻媒体的特定主题之下,甚至还会在选举现场资助了现场抗议活动,包括招募假示威者,再将活动照片、影片上传社群媒体平台,影片结尾还带有批评民主、鼓励不要投票的舆论操作。
最后,Sandra Joyce要提醒大家的是,尽管一些舆论影响行动不算非常成功,影响力不大,例如,2022年Google关闭Dragonbridge的数万个YouTube频道中,有58%频道订阅人数为0,有42%影片浏览次数为0,有83%影片浏览不到100次。
但是,Dragonbridge仍持续不段尝试新的手法、形式与发文。因此,这并不意味著我们不应该保持警惕,要知道,随著这些舆论影响行动的增加,可能越来越能够达到他们的目的。
换言之,我们每个人,必需努力去理解,什么是真实的,什么是不真实的,并要持续对突然新出现、来源非常可疑的新闻保持警惕。因为这些组织的唯一工作,就是尝试发表不真实的消息,并试图左右事件的风向。
2024%E8%87%BA%E7%81%A3%E8%B3%87%E5%AE%89%E5%A4%A7%E6%9C%83Google%20Cloud%20Mandiant%20Intelligence%E4%B8%BB%E5%B8%ADSandra%20Joyce.jpg)
在2024 CYBERSEC台湾资安大会上第一天的主题演说中,Google Cloud Mandiant Intelligence主席Sandra Joyce揭露了中国骇客组织Dragonbridge的最新一波活动。
2024%E8%87%BA%E7%81%A3%E8%B3%87%E5%AE%89%E5%A4%A7%E6%9C%83%E4%B8%AD%E5%9C%8B%E9%A7%AD%E5%AE%A2%E9%87%9D%E5%B0%8D%E8%87%BA%E7%81%A3%E7%99%BC%E5%8B%95%E8%BC%BF%E8%AB%96%E5%BD%B1%E9%9F%BF%E8%A1%8C%E5%8B%95.jpg)
2024%E8%87%BA%E7%81%A3%E8%B3%87%E5%AE%89%E5%A4%A7%E6%9C%83%E4%B8%AD%E5%9C%8B%E9%A7%AD%E5%AE%A2%E9%87%9D%E5%B0%8D%E8%87%BA%E7%81%A3%E7%99%BC%E5%8B%95%E8%BC%BF%E8%AB%96%E5%BD%B1%E9%9F%BF%E8%A1%8C%E5%8B%95.jpg)
Sandra Joyce指出,中国骇客组织Dragonbridge最新行动聚焦于台湾总统大选,她并以中国骇客试图污名化我国总统为例,说明对方使用的3项操作手法,包括先是散布关于一份300页、蔡英文秘史的抹黑内容,接著散布私生子相关消息,再散布政府告密者有关的资讯。
这一年来的网路攻击威胁,还有哪些重要变化?
在这场大会演说之余,我们也向远道而来的Sandra Joyce提出一些问题,想针对多谈谈对于这一年来资安威胁演变的看法。
首先,对于今年3月底XZ Utils后门事件,他们有何特殊的观察?Sandra Joyce指出,虽然软体供应链攻击并不是一个新的现象,但这次事件的确再次突显上游层次恶意程式码注入的潜在风险,值得注意的是,这项行动可能存在间谍动机,因为后门下一阶段的行动,需要攻击者的私钥与受害者的公钥才能进行,这有点类似APT29对Solarwinds Orion的供应链攻击事件,会是有选择性地挑选第二阶段的受害目标。同时,分析该后门之后,可以发现攻击者花了相当大的心力,避免行动被发现并设法阻碍分析。
此外,从这一年的威胁变化来看,有3点是她想特别强调的部分,第一点,企业组织发现入侵的时间,从2022年的16天降至9天,虽然这可能也与勒索软体事件增加而导致,不过,在此同时,从自身内部发现入侵的比例,也从2022年的37%增至46%,这显现出全球防御者的侦测能力已有所提升。第二点,亚太区要特别注意勒索软体攻击的态势,因为亚太区有一项明显的变化,是发现入侵的时间从2022年的33天降至9天,这很可能是勒索软体攻击事件造成,因为在2023年,亚太区的勒索软体攻击事件占比比其他地区都高;第三点,攻击者为了不被发现正采取更多手法,例如透过零时差漏洞利用的攻击,因此持续合作的情资交流至关重要。
对于我们要如何面对舆论影响行动?她再次强调,我们不应该急于接受内容,每个人都应该对突然出现、来源可疑的内容揭露,抱持极度谨慎的态度。换言之,这就是我们应对上最简单的原则。