發送釣魚電郵是網絡攻擊常用的手段,而傳媒工作者常常透過電郵收發新聞稿,受到攻擊的風險自然比其他人更高。根據網絡安全公司 FireEye 的一份報告,大陸有網絡威脅團體利用有新聞價值的事件,如雨傘運動和港大副校風波,來製作帶有病毒的電郵,並傳送到本港的媒體。
利用「雨傘運動」和港大副校風波向本港傳媒進行釣魚攻擊
FireEye 日前發佈了一份研究報告,分析了一個中國網路威脅團體(被稱為”admin@338″)發動的攻擊活動。他們的威脅目標是總部在香港的媒體組織。
8月份,該團體向總部在香港的媒體組織(包括報紙、 廣播和電視台等) 發送了有新聞價值的事件進展情況的魚叉式網路釣魚電郵 (spear phishing)和惡意附件。 其中一封電郵提及了一個基督教公民社會組織的創立,以圖製造與本港「雨傘運動」周年紀念的巧合。 另一封電郵則提及了香港大學校友會擔心在任命副校長的公民投票活動中,副校長將由親北京的利益團體進行指派。
FireEye 說該團體利用一個可以濫用 Dropbox 並名為 LOWBALL 的惡意軟體來進行命令和控制,但他們的研究人員向 Dropbox 發出警告後,Dropbox 已迅速封鎖了 LOWBALL 的權限。這樣一來, Dropbox 破壞了該團體在該惡意軟體的所有已觀察到的版本中 的命令和控制能力。
FireEye 指攻擊集中於「民主派」媒體
FireEye 又指,他們已觀察到多個中國威脅團體,針對身處亞洲的國際和國內媒體組織的記者發起攻擊。 這些攻擊通常集中於總部在香港的媒體, 尤其是那些發佈支援民主資訊的媒體。位於台灣、 東南亞和其他地區的記者亦一度是攻擊目標。
「亞洲記者通常會遭到這些針對性的網路攻擊。 他們所依賴的資訊來源相當複雜,因此他們容易成為被攻擊的目標。 記者所掌握的資訊和資訊來源可以成為有價值的情報。 由於沒有適當的技術防禦,所以他們容易受害」,FireEye 亞 太區首席技術官Bryce Boland 說。
事實上,FireEye 從 2013 年起開始跟蹤 admin@338 的活動。他們主要的攻擊目標是財政、經濟和貿易政策等組織。2015 年 4 月,FireEye 首次觀察到該團體正在瞄準媒體機搆 。該團體之前針對財政和政策組織的攻擊活動主要是利用英文撰寫的、 指定給西方受眾閱讀的魚叉式網路釣魚電郵 (spear phishing)。然而,這次攻擊活動明顯是針對繁體中文的讀者而策劃。