ADAI:越南黑客的“生死符”

一群越南黑客多年來一直在系統監視持不同政見的人，監視范圍包括了德國。巴伐利亞廣播公司和德國《時代周報》的調查顯示，受害者感覺德國政府棄他們于不顧。

在收到警告之前，BuiThanhHieu就已經支付了200歐元的出席費，準備在斯圖加特附近地區的一次會議上發言。然而，隨后便有人警告他：越南特工可能已經潛入了這次活動。BuiThanhHieu是越南最知名的博主之一。大多數德國人都知道越南是個度假勝地，有著漂亮海灘和美味佳肴。Bui則記錄了越南的另一面：一個恐嚇批評者的一黨制國家；一個容許腐敗、官僚專橫的政權。

對越南人而言，“新聞自由”只是個看得見摸不著的概念，而Bui拍攝了警察用警棍毆打抗議者的畫面，呈現給了越南觀眾。據他所言，他因為自己的工作被安全部隊拘留了“大概十幾次”。2013年，他逃往德國，此后，BuiThanhHieu一直在柏林生活和工作。他在Facebook上有幾十萬粉絲，并自稱是“遣風者”。當然，他想回家，但他在接受采訪時說，“如果我回去就只能蹲監獄”。他還說，他的父母被叫到了警局，警察辱罵他們沒有好好教育孩子。

越南戰爭結束后，數十萬越南人因饑餓和恐怖政權而逃離祖國。一些流亡海外的越南人組成了一個協會，并自2002年開始每年舉行聚會，聚會地點有時在法國、有時在美國，2018年則在斯圖加特附近。在這四天的聚會里，他們暢談越南的光明未來。他們希望，在未來，持不同政見的人不會被關進監獄，不用時不時遭受酷刑。

來自黑客的電子郵件

Bui一收到警告便取消了行程。他擔心自己可能被人監視了，越南政府可能將他們的觸角伸到了德國。然而他不知道，黑客的觸手已經伸向了他的郵箱。

Bui很謹慎，他料到黑客盯上他已經有一段時間了，但這一次，他們是有備而來的。這些黑客顯然知道他要去參加斯圖加特的會議，而且利用這一點來引他上鉤。會議前六周，他收到了一份邀請函。這是黑客發來的一封電子郵件，里面附有惡意軟件。他點了進去。

Bui在2018年12月12日收到了這樣的郵件。發件人地址與原地址很相似，但是多了“th”兩個字母。附件下載格式不正確，并沒有顯示預覽圖，而只顯示了“文件名.docx”和一個鏈接。點進鏈接下載的不是斯圖加特會議的邀請函，而是惡意軟件。本圖地址和鏈接均經過處理，隱藏了部分字母。

韓國慶北省宣布計劃利用Web3技術擴展與越南的經濟關系:12月19日消息，韓國慶北省省長Lee Cheol-woo表示，Metaverse項目將專注于“加強與越南的經濟、文化、商業和以人為本的聯系”。早在6月，該省就宣布將投資1380萬美元，打造成元宇宙創新中心，以期發展當地經濟。[2022/12/19 21:53:28]

監視之下，孤立無援

這種網絡攻擊經過了周密的準備和時間安排，受害者只要點兩下鼠標就會中招，因此對持異見的人來說非常危險。BR和《時代周報》進行了為期幾個月的研究，結果發現受害者眾多，其中有反對派成員和人權活動家，他們許多人在德國感到孤立無援。如果他們運氣好的話，信息安全專家會通知他們，網站被黑客攻擊了，但除此之外，德國政府通常不會聯系他們。研究結果還顯示他們已無計可施了。網絡間諜案中幾乎沒有任何既定程序來幫助持不同政見的人。

與受害者、調查人員和德國最高情報部門負責人等二十多人進行對話后，我們描繪出這群黑客的大致面貌，并推測他們的目的是維護越南的戰略利益。研究還揭露了黑客們犯的錯誤。因此，我們的記者團隊成功找出了哪些網站被用來傳播惡意軟件，繼而發現黑客多年來一直試圖監視著受害者。

“遣風者”擔心線人暴露

兩年后，也就是2020年夏天，Bui在接受記者采訪時才得知，黑客給他發來了假的會議邀請函郵件。他首先擔心的是自己的線人。“如果我的筆記本里有惡意軟件，政府就會知道是誰給我提供這種信息的。”這也將殃及執政黨和國家機關中的線人，置他們于危險之中。一位信息安全專家同意對他的電腦進行惡意軟件掃描，記者團隊也為他們倆建立了聯系。對Bui來說，最重要的是要以防萬一，這個專家要與越南無任何關聯。

“遣風者”BuiThanhHieu。?FelixBurchardt，《時代周報》

Bui帶著一小隊人來到了會場。德國幾乎每個城市都有幫助他的人，而柏林也不例外。當Bui從一位支持者的車上下來時，陽光正好。他的背包上寫著“放輕松”，這是Bui的信條。他整了整頭上的鴨舌帽，給自己點了一支煙。一個支持者給他安排了一位能把電腦術語翻譯成越南語的人。

Bui把筆記本電腦和密碼交給信息安全專家時，專家保證至少在未經協商的情況下不會復制任何文件。他說他大約一個小時后準備就緒。Bui的面部表情很少。在兩次會議中，他的臉上只有一瞬流露出了內心情感——那一刻，他得知有黑客在監視他的電腦。

英國數字支付平臺Wirex已在越南推出其加密平臺:10月8日消息，總部位于英國的數字支付平臺Wirex已在越南推出其加密平臺，將其X-Accounts服務擴展到81個國家/地區。Wirex已在亞太地區以及印度、俄羅斯和烏克蘭等國家/地區擴大了產品范圍。Wirex允許客戶使用國內銀行發行的信用卡或借記卡充值，在應用程序內以場外交易價格無縫購買和交換30多種加密貨幣，并引入“向聯系人匯款”功能，鏈接他們的電話通訊錄以發送加密貨幣。（the paypers）[2021/10/8 5:48:07]

網絡攻擊留下蛛絲馬跡

要找出誰是網絡攻擊的幕后黑手也許很難，但也并非不可能，因為網絡攻擊會留下蛛絲馬跡。原則上，這些痕跡是可以抹去的，但信息安全專家和情報部門有時會持續幾年追蹤這些黑客團體，更何況，黑客也會犯錯。

在Bui的案件中，這些痕跡指向了一個可能替越南政府行事的團體。專家們給這個團體起了很多名字，其中“APT32”和“海蓮”是最著名的兩個代號。Bui與十幾位信息安全專家交談后一致認為，這個越南團體在專門監視自己的同胞。

BR和《時代周報》的記者團隊通過技術調查，證實了這一說法。記者團隊發現了數百臺被感染的電腦，暗示了黑客可能特別關注的目標人群：越南公民。“海蓮”擁有一個裝備齊全的數字工具箱，用于放置惡意軟件。他們還用一些新鮮的手段從被監視的電腦中獲取數據。

“海蓮”給病下達指令，誘使用戶訪問一個預先設定的、屬于“海蓮”的網站。信息安全公司ESET發現，該網址的前半部分包含了重要信息，因為那是黑客給所監視的計算機起的名字，有一些計算機名透露了比較多的信息，例如“asean”代表了“東盟”。“海蓮”一直在攻擊東盟的計算機，并在2017年成功侵入。可以得知，有一個與東盟無關的人物可能將他們監視的東盟計算機命名為“asean”。

記者團隊評估了信息安全公司Farsight的數據庫。Farsight在數據庫中詳述了域名和IP地址的關系。這些數據是多年以前收集的，顯示了哪些計算機受到了黑客的監視。記者團隊通過這個數據庫接觸到了成百上千的計算機名，其中只有80個指向了擁有越南姓名的用戶。有一些計算機名中包含的縮寫顯示這些用戶為國家機關效力。

任務廣泛

動態 | 三星SDS成為越南CMC最大股東 共同發展區塊鏈等事業:據MK 7月28日消息，韓國三星SDS通過戰略投資收購越南公司CMC的股份，成為最大股東。以此兩家公司準備在區塊鏈、AI、大數據等領域共同發展。[2019/7/28]

AdamMeyers是信息安全公司Crowdstrike的副總裁，主管情報業務，他多年來一直在監控這個越南黑客團體。“他們自2012年以來一直很活躍，頻繁攻擊了居住在中國、越南、柬埔寨、菲律賓或德國的人。”他說。他還補充，這些黑客的目標是能源、金融、酒店和汽車行業，也包括政府、媒體和人權組織。“我們所談到的這個黑客團體不是在父母家地下室里發動黑客攻擊的六個無名小卒，而是一個軍事組織。我們談論的是計算機網絡操作的最重要實體，一個來自健全的民族國家、能夠完成廣泛任務的組織。”據另一位不愿提及姓名的IT安全專家稱，“海蓮”是“全球最活躍的五個黑客團體之一”。

沒有明確的證據顯示越南政府向該組織下達了命令，但這個猜測有跡可循。有人要求越南駐柏林大使館就此事發表評論，而他們堅決否認越南是網絡攻擊的幕后黑手，并拒絕任何此類指控：“網絡攻擊和對威脅網絡安全的行為必須受到譴責和依法嚴懲。”大使館還說，越南準備與國際社會合作，以防止未來的攻擊。不過，一位效力于德國安全部門、關注各國及其黑客的人告訴BR和《時代周報》的記者：“在越南這樣的國家，一個黑客集團如此大規模地發動攻擊，不可能沒有政府的授意。”

讓我們回到BuiThanhHieu目瞪口呆的那一刻。信息安全專家探查了他的電腦，尋找是否有黑客的蹤跡，然后說出了一個讓他吃驚的答案。他認真地聽著翻譯的話，似乎每一個細節對他來說都很重要。Bui想知道他是否需要警告他的線人、安全專家是否檢查過他的郵箱。他說，就在幾個月前，他又發現了可疑的電子郵件。

專家沒有發現任何惡意軟件。他聞言后，似乎很驚訝，看上去他堅信會有黑客的蹤跡。畢竟Bui強調他打開了郵件，這應該足以讓黑客侵入他的電腦，但是專家一無所獲。專家懷疑黑客抹去了他們的痕跡。他還說，他需要更多的時間進行進一步的分析，幾個小時可能搞不定，得用上好幾天。此刻，Bui松了一口氣。

網絡間諜活動更容易撇清罪名

Bui把沒有受感染的筆記本電腦塞進背包，聊起了他在德國的生活。“我不知道這里安不安全，但無論如何，這里比越南要安全得多。如果我在德國不安全，在任何地方都不會安全。”

動態 | 越南的一份報告促使政府對加密采取監管措施:據bitcoinnews報道，越南一份關于當前加密貨幣監管和實踐的新報告建議修改現行立法。這份由河內司法部(Ministry of Justice)編制的報告讓越南政府就監管進行深思熟慮，包括將越南的監管規則制定為與其他已經建立監管規則的海外國家一樣。[2018/11/13]

現在他已經知道，僅在2019年，他就收到了三封來自“海蓮”的郵件，這意味著他們三次嘗試發動攻擊，監視他的筆記本電腦。在這三起事件中，他的筆記本上也沒有留下任何痕跡。但這些事件表明，黑客在打探他的秘密。即使Bui到目前為止運氣還不錯，但好運無法永遠伴隨他。

網絡間諜活動使各國能夠跨越國界監視他們的“眼中釘”。與其訓練特工潛入飛機艙、在行政樓層神不知鬼不覺地放竊聽器，不如用互聯網線路發送病就可以了。“你不需要全方位的監控，”一位追捕政府黑客的信息安全專家說，“如果你想知道別人在說什么，打開手機上的麥克風就行了。”

網絡間諜另一個優勢是，他們比傳統的特工更容易撇清指控。傳統特工的行動一旦公開，就會引起國際丑聞，2017年就發生了這樣的事情。越南前官員和商人TrinhXuanThanh與女友在柏林大蒂爾加滕公園散步時，據傳來自越南特勤局的特工從一輛面包車上跳下來，把兩人拖進了車里。他們以抓捕外逃德國的貪官為由對兩人進行了綁架，觸犯了國際法，還導致Thanh女朋友手臂骨折，Thanh的手機也在柏油路上摔得四分五裂。

TrinhXuanThanh在黨內精英階層的權力斗爭中落敗，因此離開了越南。他在越南備受憎恨，甚至連民眾也唾罵他，認為他是一個腐敗的政客，成天開著一輛25萬美元的雷克薩斯在河內招搖過市。他被綁架后不久，就出現在越南國家電視臺。他在河內被判處了終生監禁。

這次行動無論在經濟上還是外交上都可能付出了很高的代價，越南和德國的外交關系也因此中止。

MatthiasSchulze在德國智庫德國國際和安全事務研究所研究黑客攻擊，他表示，在網絡世界中，這種攻擊引起的關注較少，安保水平也不是很高。“這就為獲取信息敞開了大門，網絡攻擊的種種“好處”幾乎在慫恿著各國成立黑客組織。這非常劃得來，低成本高回報。”

黑客目的地：慕尼黑

亞洲用戶增加 OpenLedger增添日語和越南語:OpenLedger交互升級，OpenLedger的充提幣頁面變得更加簡便易用，并且由于亞洲客戶的需求增加，增添了日語和越南語。OpenLedger是一個去中心化加密貨幣交易平臺。[2018/3/23]

目標：寶馬公司

自2019年春季開始，黑客就通過越南和寶馬公司的貿易往來對寶馬實施網絡攻擊。越南目前正在建設汽車工業，于是發動機從慕尼黑的寶馬公司不斷運往河內，而黑客也不斷從河內攻向寶馬公司。BR的調查顯示，這場攻擊持續了幾個月。但黑客還沒侵入慕尼黑的網絡、帶走敏感數據，就暴露了。雖說不能百分百確定是工業間諜所為，但此種可能性很大。寶馬公司至今還沒有發表任何公開聲明。

BR和《時代周報》的另一項技術分析揭示了黑客的活躍程度。因為“海蓮”可能犯的一個錯誤，我們可以看到黑客為了傳播其惡意軟件而設立的數百個網站。

用戶瀏覽網站之前，瀏覽器會檢查用戶身份。通常每個網站都有自己的數字ID，即安全證書。如果兩個不同的網站擁有同一個證書，那么他們就屬于同一個人，這就是“海蓮”露出馬腳的地方。記者團隊在信息安全公司DomainTools的數據庫中發現，“海蓮”有大概280個網頁用了同一個證書，網絡安全公司RiskIQ的專家也查探到了這個證書，并且也追蹤到了“海蓮”。

柏林——“間諜之都”

這里是柏林一棟不起眼的辦公樓：窗簾拉得嚴嚴實實，溫度很低，穿著合身西裝的保安戴著耳麥守在門口。這座大樓就是德國聯邦憲法保衛局，房間里擺放著巨大的會議桌，與采訪的人數之少形成鮮明對比，桌上擺放著一臺的電子設備，這是BR和《時代周報》的記者可以帶進門的唯一一臺電子設備，手機和筆記本電腦只能寄存在門口。

德國最高安全代理人、聯邦憲法保護局主席ThomasHaldenwang平靜地評價情報部門“比以前更健全了”。幾十年來，間諜故事大多只存在于電影里，但現在在網絡攻擊事故會議上，德國極端主義和恐怖主義聯合防御中心相關工作組越來越喜歡用“間諜只是傳說”作為借口。

Haldenwang最近宣稱柏林是“間諜之都”。他在接受BR和《時代周報》采訪時解釋說，德國是歐洲中部的重要國家，因此外國有關部門對德國非常感興趣。“德國是國際關系的廣泛參與者，許多國家的僑民都住在這里”。2016年土耳其政變失敗后，土耳其居倫運動的支持者受到了監視，而伊朗則試圖恐嚇反對派成員。

同時，正如Haldenwang所說，網絡攻擊已經成為許多外國機構的“首選手段”。聯邦憲法保衛局從2014年開始觀察“海蓮”的黑客，他們注意到，這群黑客“對某些具有越南背景的群體感興趣”。Haldenwang說：“這是我們認為與越南有明顯關聯的另一佐證”。然而，沒有明確的證據指向越南，尤其是越南的情報部門。

程序不完善

Haldenwang描述了反間諜工作的一個核心問題。當“海蓮”活躍于德國時，聯邦憲法保衛局向國內汽車行業發出了警告。德國政府和業界之間有一套完善的程序。“當異見人士被監視時，情況就不同了。如果我們察覺到異見人士受到威脅，我們會與討論進一步的措施。”負責立即實施保護。

然而，網絡間諜活動往往是一種準備活動。我們不能從一封電子郵件中看出網絡間諜活動是否會發展成真正的威脅。據Haldenwang所說，協助是聯邦憲法保衛局的任務之一。然而，他說，“沒有一個警察局能夠晝夜守護這一大群人”。

幾個月過去了，警察還沒有答復

VuQuocDung就是一個典型的例子。如今，他懷疑自己能否依靠德國政府。幾個月前，他得知自己被黑客盯上了，但是一直沒有人幫助他。Vu是越南人權運動網站“否決”網絡的董事。他在歐洲議會前發言、會見了德國聯邦議院的家，還會見了德國總統Frank-WalterSteinmeier。

人權工作者VuQuocDung。?BR

2020年5月12日，朋友們問Vu，他是否發了一封郵件，說了些越南政府的小道消息。電郵地址跟他的很相似，還有他的簽名，但那封電郵是“海蓮”發出的，還發給了他的侄子和一位報道越南社會的德國《日報》記者。“否決”網絡提起了訴訟，然而幾個月來案件毫無進展。

Vu的侄子Huy在工作時學會了識別含有病的電子郵件。“當我收到一個新的電郵地址發來的郵件，里面還帶有附件時，我就很謹慎。”Huy在電話采訪中說道。出于好奇，他寫了一封回信。不到兩個小時后，黑客居然回復了——以所謂“Vu舅舅”的身份——問他“咋了”。“我舅舅的語氣絕不是這樣的。”Huy說。

專業黑客軟件“鈷襲擊”

信息安全公司Volexity的專家StevenAdair解釋，如果有人下載了黑客發送的文件，他們的技術人員就會安裝名為“鈷襲擊”的專業黑客軟件。他分析了包含惡意軟件的郵件。“鈷襲擊”是一家美國公司的軟件，價格是在幾千歐元一年。該軟件框架非常強大，因此美國政府不得不同意將其出售給許多國家。專家們一接到企業的訂單，就會立即使用該軟件，以合法測試其信息安全性。

可以說，“海蓮”的黑客們也在測試政府和企業網絡的信息安全，盡管他們是主動和非法的。StevenAdair說，如果他們得手了，就會把數據外流回到自己的服務器上。

StevenAdair早已認識VuQuocDung。2017年人權組織“否決”網站被黑客攻擊后，Adair聯系了他們。除了“否決”網站，黑客還占領了100多個網站。“這些網站中的絕對大多數，有大約80到90個都與越南有關。”StevenAdair解釋說。越南天主教徒的網站和一家當地新聞網站也成為攻擊目標，同樣未能幸免的還有一家鋼鐵公司的網站，該公司的越南工廠給越南帶來了很大的環境問題。

Adair分析了“否決”網站，并移除了黑客的工具。他對此解釋道：“他們為網站的每個訪問者建立了一個檔案。”他估計，在每天10萬名訪問者中，只有10人可能會引起黑客的興趣。“一旦他們鎖定某個人，黑客就會改變網站的外觀。”例如，突然彈出一個谷歌登錄窗口。黑客就是這樣獲得了這些人的登錄數據，從而以他們的名義閱讀和發送電子郵件。

多年后，從他們發出的電子郵件可見，“海蓮”的黑客仍在針對VuQuocDung，這顯然是一起網絡間諜案。“我們將電子郵件的文本從越南語翻譯成德語，并詳細解釋了為什么我們提起刑事指控。”VuQuocDung說。但當BR和《時代周報》聯系到他時，負責的警察當局回信說，這個案子最后是在詐騙部門處理的。顯然曾試圖通過電話以及電子郵件聯系Vu。然而，BR和《時代周報》能夠發現，他們錯給黑客的地址發送了電子郵件。在記者提出要求后，邀請Vu再次接受筆錄。

“否決”網站正試圖在此期間保護自己，即使很可能徒勞無功，Vu解釋說：“我不認為我們作為一個小組織，有可能抵御一群也許得到了國家支持的黑客。”在Vu看來，德國政府才是罪魁禍首。“我們希望人權團體成為攻擊目標時，國家或警察可以盡力保護它們。”

德國聯邦政府的任務

埃朗根-紐倫堡大學國際刑法和國際法教授ChristophSafferling和Vu持有相同的看法。他說，保護這些人是聯邦政府的任務，是憲法規定的義務。“如果我們想在德國進行公正的合作，就不能允許外國特務機構監視流亡者。”他還說，人們必須意識到問題的嚴重性：“這些人不是偶然來到這里的外國人，他們是我們社會的一部分，必須能夠在這里和平、自由地生活。”

“海蓮”的黑客們恰恰要阻止他們自由自在的生活，這也是他們名字的含義。2011年，他們在開始活動時就給自己起了一個越南名字：SinhTuLenh，暗喻著掌控生死。這個名字出自金庸小說中出現的“生死符”，而在越南，金庸武俠小說和電影很受歡迎。

使用這一符咒的人都能讓別人受制于他。受害者會遭受到極度的痛苦，而且在服從符咒主人后才能得到緩解。惡意軟件就是“海蓮”的生死符。黑客們就像小說人物一樣，控制著受害者，或者說，控制著越南政權抨擊者的鍵盤、屏幕、文件，直到他們乖乖就范。

END

作者：

HakanTanriverdi,?MaxZierer,?Ann-KathrinWetter(BR),?KaiBiermann,?ThiDoNguyen(ZeitOnline）

Tags：HANADAADAIWANWombat ExchangeBABYADA幣ADAI價格WANTS幣

ETH