中国国家支持的黑客针对记者及公民社会团体
公民实验室(Citizen Lab)和国际调查记者同盟(ICIJ)的研究人员揭露了一场与中国有关联的大规模数字间谍行动,该行动系统性地针对记者、维吾尔族及藏族活动人士以及台湾政府官员。此次行动使用了逾100个恶意域名以及由人工智能生成的网络钓鱼信息,旨在窃取登录凭证并非法访问电子邮件账户、文件及联系人列表。
此次行动的规模与复杂程度,使其跻身近年来有据可查的重大国家支持监控行动之列。它同时引发了严重质疑:长期在国家压力下运作的公民社会团体、独立媒体机构以及少数民族群体,究竟有多脆弱。
攻击方式
攻击者大量采用网络钓鱼手段——通过冒充受信任的服务或联系人,诱骗目标交出用户名和密码。此次行动的特别之处在于,据报道攻击者使用了人工智能生成的信息。这使攻击者能够大规模生产语法正确、极具说服力的通信内容,从而降低了有效网络钓鱼的传统门槛。
一旦获取凭证,攻击者便可悄然访问电子邮件收件箱、收集联系人列表,并在不触发明显警报的情况下读取敏感文件。这种访问权限对调查记者危害尤为严重——其消息来源的通信内容及未发表的文件均可能遭到曝光;对于活动人士而言,其整个联系网络也可能因此被识别并陷入危险。
使用逾100个恶意域名表明此次行动资源充裕。将基础设施分散在众多域名之间,使安全团队难以通过封锁单一来源来阻止整个行动,同时也让攻击者能够在个别域名被标记后迅速切换。
攻击对象及其重要性
此次行动的攻击对象有一个共同点:他们都是中国当局具有强烈政治动机加以监控的群体。国际调查记者同盟最为人熟知的是发布了"巴拿马文件"和"潘多拉文件"等重大金融调查报道。维吾尔族和藏族群体长期遭受数字监控,公民实验室已记录了多起针对这两个群体的先前行动。鉴于持续的两岸紧张局势,台湾政府官员是地缘政治敏感度极高的攻击目标。
这并非孤立事件。总部位于多伦多大学的公民实验室多年来记录了数十起针对异见人士、记者及与中国有关联的少数民族群体的行动。此次最新案例所揭示的是,攻击方法正在不断演进。将人工智能工具融入网络钓鱼行动,意味着即便是数字安全意识较强的目标,也可能愈发难以将恶意信息与合法信息区分开来。
对于公民社会组织而言,其影响远超个人账户层面。当一名记者的收件箱遭到入侵,消息来源便可能被识别。当一名活动人士的联系人列表被窃取,整个网络便会在敌对国家行为者面前暴露无遗。损害几乎不可能仅局限于直接受攻击的当事人。
这对你意味着什么
如果你从事新闻、社会活动,或任何涉及敏感通信的领域,此次行动清楚地提醒我们:凭证窃取是国家支持的攻击者最有效的工具之一。你无需是高知名度目标,也可能被纳入广泛的监控网络之中。
以下几项实际措施能够有效降低你的风险:
- 使用硬件安全密钥或基于应用程序的双重身份验证。 当完成登录需要第二重验证时,窃取密码的网络钓鱼攻击效果会大打折扣。硬件密钥尤其对网络钓鱼具有很强的抵御能力。
- 对意外的登录提示保持警惕。 人工智能生成的钓鱼信息可能看起来极具说服力,但请求本身——要求你验证凭证或通过不熟悉的链接登录——才是危险信号。
- 对敏感对话使用加密通信工具。 电子邮件本身难以有效保护安全。端对端加密即时通信应用程序为消息来源通信及敏感协调工作提供了强度显著更高的保护。
- 定期审查你的账户访问情况。 检查哪些设备和应用程序可以访问你的电子邮件及云存储。撤销任何不熟悉的访问权限。
- 在公共或不受信任的网络上访问敏感账户时,考虑使用VPN。 VPN无法阻止网络钓鱼,但它能在网络层面保护你的流量免遭拦截——当你的威胁模型包含国家级行为者时,这一点尤为重要。
此类国家支持的网络钓鱼行动被设计为隐形运作。凭证遭到窃取,访问权限被悄然维持,而目标往往在已造成重大损害之后才察觉自己已被入侵。了解这些行动的运作方式,是保护自己及所在网络的第一步。
对于记者、活动人士以及所有因工作性质而成为有备而来的对手攻击目标的人而言,数字安全并非可有可无的技术附加项,而是安全运营的核心组成部分。在事件发生之前,现在就审查你的身份验证实践和通信习惯,是现有最有效的防御手段。
