网络战：❗️社交工程学正被全球当权者利用来攻击活动家、异议人士和记者，如何抵御？

#CyberConflict #CivilSociety #tech #China

压制性政权越来越擅长利用数字间谍来镇压异议并扼杀国内外的反对，甚至在民主国家也是如此。美国公民社会组织报告的威胁所占比例为第二大，仅次于中国——最新报告分析技术局势

十多年来，民间社会组织（CSO）一直受到来自大公司和政府的几乎相同强度的攻击，不仅威胁言论自由，而且威胁民主本身。

2009 年因窃取了谷歌源代码而“走红”的 Aurora 行动，其另一个主要目标似乎鲜为人知，那就是：西藏社区。

从那以后，国家支持的数字间谍活动越来越多地被用来对付全球的记者、活动家和人道主义团体。重要的是，尽管面临着与大公司相同的高级威胁，但公民社会组织非常脆弱，缺乏资源难以建立有效应对措施和获得外部帮助，使其极易受到攻击 - 并且随着威胁的不断发展，应对难度越来越大。

一种令人担忧的趋势已经非常明显：专制政权越来越擅长利用数字间谍来镇压异议并扼杀国内外的反对意见。

今年早些时候，哥伦比亚大学国际和公共事务学院与公民实验室的研究人员举办了一次研讨会，研究民间社会组织面临的数字威胁，以及他们在减轻这些威胁方面遇到的障碍。确定了以下六项挑战。

首先是，资源匮乏。学者们需要花时间和精力来推测网络冲突，但更不用说还要收集和分析经验数据了。与此同时，像公民实验室这样的独立研究中心以及电子前沿基金会、人权观察和 Access Now 等非营利组织已经创建了一系列关于公民社会组织目标威胁的宝贵报告。这些组织提供高质量的研究，但由于资金和人力限制，其产出有限。私人网络安全行业获得了更好的资金支持，有能力收集有关目标威胁的大量数据，但它是由商业利益驱动的，而这些利益通常不会优先考虑民间社会。

其次，针对民间社会组织的有针对性的数字威胁不仅仅局限于专制国家，而是一种全球性的威胁，因为这些政权越来越警惕民间社会，还能跨国攻击。下图显示了网络安全公司和独立研究中心对公共威胁报告的分析数据。

很大一部分威胁活动是针对自由民主国家的公民社会组织的 —— 在美国公民社会组织报告的威胁所占比例为第二大，仅次于中国！由于民间社会对于运作民主至关重要，专制政权通过数字手段向海外投射权力的趋势是对全球民主的严重攻击。

第三，技术发展为监督和间谍活动创造了新的机会，逃避了现有的监管和规范框架。情报部门和私营部门可以通过支持新市场的开发来利用这一灰色地带，例如商业间谍软件。虽然存在合法拦截的法律案件，但问责制正面临着严重的挑战，因为这些间谍工具被要求保密！这使得民间社会处于危险之中，正如围绕间​​谍软件提供商的诸多争议所显示的那样，如 FinFisher、Hacking Team 和 NSO 这些可恶的监视技术销售公司，其销售能力与领先的情报机构几乎一样，完全可以与几个专制政权相提并论。

延伸阅读：《可视化数据：全球监控行业 — — 谁是大哥？谁在作恶？》

第四，当大多数攻击实际上依赖于社会工程学技术时，将重点放在开发技术的解决方案上是错的。虽然像美国的漏洞权益流程（VEP）这样的举措是一种潜在的有前途的方法以规范技术漏洞的披露，但是，它无法解决越来越多地使用社交工程技术来利用人的行为心理弱点而发起的攻击 —— 例如好奇心，人类的下意识信任倾向和对社交的渴望、对缺乏关注的担忧。（后面我们会陆续详细介绍社交工程学骗局的实施，这个时代每个人都应该掌握一些这样的知识）

因此，单独调节技术手段就会忽略掉大多数威胁。在很多针对公民社会发起的攻击中，更多的努力被花费在有效的社会工程上，用于欺骗目标打开恶意附件或链接，而不是利用技术本身的漏洞，后者已经被黑市炒得很昂贵了。（您可以在这里看到一些介绍《危险：监控技术公司正在推动对零日漏洞的利用》）

第五，很难量化间谍活动对目标公民社会组织的影响，特别是在长期范围内。攻击对公司和政府机构的影响可以通过其财务损失和泄露的敏感数据量来定量衡量，但影响公民社会组织的攻击很少导致财务损失，其导致的是逮捕和迫害目标个人及其家庭成员的人权，以及由于异议人士的个人帐户被盗取，被用于在社交网络上传播恶意软件，从而导致的是对异议群体内部互信问题的更长期影响。

第六，没有一个通用的解决方案可以减轻公民社会组织面对的这种威胁。每个社区都会受到威胁，目标也不同。来自中国的威胁组织所针对的西藏侨民群体，可能与该政权和其他非国家行为组织针对叙利亚反对派成员发起的攻击，有着截然不同的威胁模式。

任何这些挑战都没有简单的答案。尽管如此，权利组织、政策制定者和科技公司都可以采取一些措施来改善公民社会组织的网络安全。

更重要的是，公民社会组织应该普及自我防御知识，加强应对危险的敏锐度，但目前似乎一些措施并不到位。去年一位公民社会的活动家拒绝了我发送的一封电子邮件，由于邮件附了一个很长的文档，他告诉我他不会打开任何附件和链接（甚至是来自熟人的，因为无法判断对方的邮箱是否被劫持了）。这种警惕性值得赞扬，但拒绝一切岂不是耽误工作了吗？实际上你完全可以使用基本技术把危险隔离出去，避免受到伤害，这里是具体措施的介绍。

以下是来自公民实验室的最新报告，以今年发生的藏人活动家被攻击事件为例，具体分析这一攻击的技术和心理利用特征。请不要认为汉族和其他民族就能幸免，没人能做这样的保证。要知道，这种攻击方式已经出现在中国！

主要发现

• 本报告分析了2018年1月至3月间针对西藏活动家、记者、西藏流亡议会(Tibetan Parliament in Exile)成员和西藏流亡政府(Central Tibetan Administration)的恶意软件攻击活动。

• 详细介绍 了对西藏 NGO 的入侵行动，并简要分析了入侵者在感染后的行为。

• 最近的这次攻击活动,以及公民实验室在 2016 年报道过的一次攻击, 都与一项更广泛的被称为“热带骑兵(Tropic Trooper)”的活动有关。这些关联的强度和意义仍在评估。

• 本报告研究了与调查封闭式间谍活动生态相关的挑战，准确描述了参与者及其造成的危害的重要性。

介绍

2018年1月，一位西藏活动家收到了一封看似平凡的电子邮件，自称是一个非政府人权组织的节目更新。邮件的附件是一个 PPT 和一个文档。与很多流亡藏人一样，这位活动家已经对这种不请自来的带着附件的电子邮件抱有警惕，他没有打开附件，而是把附件交给了公民实验室的研究人员。

他的怀疑是对的：附件是恶意的。如果点击了这个附件，它就将利用最近的漏洞用定制的恶意软件感染 Windows 计算机。这封电子邮件是2018年1月至3月期间针对西藏活动家、记者、西藏流亡议会成员和西藏流亡政府的恶意软件活动的开始。

公民实验室与目标群体密切合作，收集这些恶意邮件，并且与受感染的组织启动了事件响应。这种合作便于进一步了解攻击者使用的策略、技术和程序。

这一系列活动使用社会工程学技巧来欺骗目标打开利用了PowerPoint 的 CVE-2017–0199 漏洞和微软富文本文件(RTF)的 CVE-2017–11882 电子邮件附件。恶意软件包括了我们称之为 DMShell++ 的 PowerShell Payload，以及名为 TSSL 的后门，还有我们称之为 DSNGInstaller 的善后工具。

我们称最近的这次活动为“重浮水面”活动，因为它与2016年针对西藏流亡议会成员的活动有关（我们称其为“议会活动”）。出现这种关联可能是因为它们是由相同的小组发起的，或者是在多个小组之间共享工具和基础设施。

流亡藏人：一个被高度瞄准的群体

数字间谍活动的威胁是流亡藏民需要面对的现实，他们十多年来一直是恶意软件活动的目标。

从历史上看，这些攻击严重依赖于利用已知漏洞和远程访问木马(RAT)的恶意附件。这种策略可能是基于对于资源贫乏的民间团体的基本风险回报计算：如果他们使用没打补丁的系统，那么使用简单的技术工具就足够了，为什么还要冒着暴露更复杂的技术工具的风险呢？

相反，攻击者们似乎把他们大部分的创新都集中在了聪明的社会工程剂量上，并采用了“恰到好处”的方法。我们观察到的有限的技术创新可能是出于长期访问和持久性的现实需求，而不是为了更复杂的目的，例如模糊恶意软件作者的身份或者防止反编译。

转变战术?

自 2016 年以来，针对藏族群体的恶意软件活动的报告数量出现了大幅下降。取而代之的是，我们观察到这些活动转向网络钓鱼以获取在线账户的登陆凭证。

这一变化的一个值得注意的例外是议会活动，它使用已知且已被修补的漏洞来传播名为 KeyBoy 的定制恶意软件。此次攻击活动是自议会活动以来我们首次观察到的针对藏人社群的有针对性的恶意软件活动。

熟悉的联系

重浮水面活动使用了与议会活动不同的漏洞和 Payloads，但是使用了相同的链接。这两个活动都使用了相似的钓鱼信息，都是针对西藏流亡议会成员定制的。重浮水面活动中的一个用来发送钓鱼邮件的地址(tibetanparliarnent[@]yahoo.com)在议会活动期间也被反复使用 。

在常用工具与代码的相似性上，这两个活动还与一个更广泛的称为“热带骑兵(Tropic Trooper)”的行动相关联，这个行动至少始于2012年，在2015年由趋势科技首次报告。热带骑兵行动针对的是台湾和菲律宾的政府和公司，其标志是使用包括Yahaoyah, Yahamam, 和TSSL在内的恶意软件。而重浮水面活动因为使用了 TSSL 而与热带骑兵联系到了一起。议会活动则因为 Keyboy 和 Yahaoyah 之间的代码相似性而被发现了关联。趋势科技指出，Yahoyah 与 2013 年发现的 KeyBoy 使用了相同版本的配置文件编码算法。

如果重浮水面活动与议会活动的背后是同一攻击者，那么他们似乎对自己的工具进行了有限和渐进的改进。然而，这些改进很小，而且不太可能花费太多成本。活动中使用的漏洞代码和 Powershell 代码都是公开发布的。漏洞代码在 Github 上就能找到，而 DMShell++(Powershell的Payload) 是用网上的代码改写的。

封闭的间谍生态：一项分析挑战

这些类型的活动使用封闭间谍生态定制的恶意软件，其中涉及的各方（例如，编写恶意软件的开发人员、攻击者、和鼓励开展这些活动的情报人员）难以识别和完全分割。情报人员可能是主动地在管理工具开发与目标选择，也可能是被动地奖励那些获取了他们感兴趣的目标信息的攻击者。比起商品化的恶意软件工具包（例如用于间谍活动的网络犯罪工具）或者政府专有的恶意软件（例如来自NSO集团的产品），对于封闭的间谍生态的花费和投入是难以计算的 。

封闭间谍生态中的“攻击者”经常能够被通过使用相同的工具和基础设施识别出来。这种归因分析能够把各种事件聚集成可识别的模式和指标。然而，小偷可以在不同时间使用不同的撬棍。例如，看似不同的活动和攻击者可以通过被 FireEye 称为“数字军需官”的东西联系在一起。

“数字军需官”是指在多个活动和小组之间共享的恶意软件开发和基础设施的资源。了解恶意软件活动中使用的工具和策略可以让人深入了解其技术能力，并且能让分析师跟踪一段时间内的活动，但仅凭这些并不能揭示攻击者收集的信息是如何被情报客户所使用的，也无法得知其对民间团体会造成怎样的伤害。

本报告分为一下几个部分：

第一部分: 重浮水面活动 —— 描述了2018年1月至3月间针对藏族群体的重浮水面活动。

第二部分: 调查妥协 —— 描述了一个西藏 NGO 的妥协，并分析了感染后攻击者的行为。

第三部分: 熟悉的联系 —— 突出了议会活动与重浮水面活动之间的关系，以及与被称为“热带骑兵(Tropic Trooper)”的行动之间的关系.

第四部分: 封闭间谍生态和识别危害 —— 讨论了分析封闭间谍生态的挑战，并将我们的调查置于针对流亡藏人的更广泛数字间谍活动趋势中。

第一部分:重浮水面活动

本节介绍 2018 年 1 月～3月间针对藏族群体的重浮水面活动。

活动概述

我们观察了2018年1月16日至3月2日的重浮水面活动，并收集了7封针对西藏活动家、记者、西藏流亡议会成员和西藏流亡政府(Central Tibetan Administration, CTA)的钓鱼邮件。

这些邮件的发件地址模仿了西藏 NGO 或 CTA 工作人员的电子邮件地址，并且分享了有关宣传活动，文化活动和管理公告的内容。我们验证了其中一些信息是在社交媒体上公开发布的 ，而其他信息可能是从公共信件或者私人信息中手机传送的，这些信息可能是之前就被攻击者窃取了的。1月22日的钓鱼邮件是从tibetanparliarnent[@]yahoo.com发送的，该邮件地址在议会活动中也被用于发送多个钓鱼邮件（参见图1）.

虽然议会活动和重浮水面活动使用了类似的社会工程策略和相同电子邮件地址来发送鱼叉式网络钓鱼邮件，但重浮水面活动使用了一种不同的、更新的恶意软件工具包。 

在八次入侵尝试中的六次中，攻击者发送了一个 Microsoft PowerPoint 文件，利用 2017 年披露的一个漏洞（ CVE-2017–0199 ），旨在从远程服务器中投放用 Microsoft PowerShell 脚本语言编写的 Payload。 在 2018年1月的两次早期入侵尝试中，运营商还利用了 RTF 文档的漏洞（ CVE-2017–11882 ）。

感染链：CVE-2017–0199 和 DMShell ++

该活动中最常见的感染链是使用 PowerPoint Open XML 幻灯片文件（PPSX）利用 CVE-2017–0199 加载我们称之为 DMShel++ 的远程 Payload，这是一种用 Microsoft 的 PowerShell 脚本语言编写的基本 TCP 反向 shell。 

我们在一个名为“DM_”的乌云（中国黑客论坛1）账号的公开发帖中观察到了一个非常类似的，虽然更简单的 DMShell++实现。 我们将在调查中发现的版本称为“DMShell++”，参考了它的乌云用户名，并结合他使用其他基本命令逐步更新 Wooyun 版本的事实。

我们观察了表1中列举的域名上托管的 DMShell++ 版本。但是，我们没有持续监视这些域名，因此攻击者可能使用了表中未列出的其他配置。

我们观察到的 DMShell++ 版本具有相同的功能，但命令和控制的配置不同。 表2 概述了 DMShell++ 的功能以及攻击者使用它的方法（技术细节包含在附录A中 ）。 这个基础脚本使远程攻击者可以对受害计算机进行大量控制。最初部署的通用 Payload 会隐藏攻击者的真实能力和意图，以避免防御者检测到入侵企图。

感染链：CVE-2017–11882 和 DMShell++

在活动早期发送的两封钓鱼邮件中，除了之前描述的 PPSX 文件之外，攻击者还使用了第二个漏洞利用文档来部署 DMShell++。 目前还不清楚为什么攻击者使用这种二次方法。 但是，考虑到这两个漏洞补丁发布之间的时间，以及用于执行 PowerShell Payload 的不同方法，攻击者可能希望通过测试两种方法来使其成功率最大化。

第二份文件是旨在利用 CVE-2017–11882 的 RTF 文件。 在这种情况下，此漏洞文档不会从远程位置加载 PowerShell 脚本，而是通过尝试将可执行（EXE）程序写入目标计算机来走上更传统的感染链。 EXE 程序旨在在目标计算机上创建一个小型 PowerShell 脚本，以解码和执行 DMShell++ 的编码版本。 此 DMShell++ 的版本被配置为使用同一 C2 基础设施作为在同一钓鱼邮件中的 PPSX 文件下载的远程版本（27.126.186[.]222上的端口6001 ， 6002,和6003 ; 附录D 提供了一个详细的服务器基础结构概述）。 图3概述了 CVE 2017-11822和DMShell++ 感染链。

感染链：CVE-2017–11882 和 TSSL Suite

在 2018 年1月23日发送的钓鱼邮件中，攻击者还使用了一个旨在利用 CVE-2017–11882 并在执行文件中嵌入的 Payload 的 RTF 文档。 但是，在这种情况下，攻击者部署了一组完全不同的工具。

当我们分析作为此感染链的一部分写入磁盘的文件时，我们观察到多个程序数据库（PDB）字符串。 可用时，PDB 字符串可以指示恶意软件创建者的环境以及已开发恶意软件的名字。

D:\Work\Project\VS\house\Apple\Apple_20180115\Release\InstallClient.pdbD:\Work\Project\VS\house\Apple\Apple_20180115\Release\FakeRun.pdb

这些 PDB 字符串与一组称为 TSSL 的工具一致，这些工具之前已由趋势科技和普华永道描述，并与 KeyBoy 和热带骑兵活动相关。 

在这些报告中分析的 TSSL 套件包括一个名为 FakeRun 的加载器和一个名为 TClient 的后门程序。 虽然我们分析的样本与先前报告的实例（ 例如版本号、配置数据的存储、启动 Payload 的方法）存在一些差异，但我们得出结论，它们可能基于相同的源代码（有关详细的比较分析，请参阅 附录B 样品）。 图4 概述了 CVE 2017–11882 和 TSSL 套件感染链。

第2部分：调查妥协

本节描述了西藏 NGO 的妥协，并分析了感染后的攻击者的行为。

该活动的第四封钓鱼邮件于 2018 年1月23日发送给为西藏 NGO，媒体和 CTA 工作的一系列目标。 该消息似乎是从西藏博物馆、CTA的官方博物馆的馆长那里发送的。 附在电子邮件中的是 RTF 和 PPSX，邮件声称提供有关西藏国家博物馆的信息（见图5）。 这些文件包含 CVE-2017–11882 和 TSSL Suite 感染链。

特别是有一个 NGO 受到严重攻击，并有多名工作人员收到电子邮件。 该小组的一名高级工作人员在办公室的计算机上打开了附件并遭到了入侵。 通过组织网络的事件响应，我们观察了攻击者在感染后采取的行动，并确定了第二个后门的使用。

网络日志显示了对于 IP 地址115.126.86[.]151上的端口6001 ， 8080 ，和8100的连接，这与 TSSL 植入的配置文件匹配。 这个后门被配置为每隔 20 分钟与 C2 服务器通信，但我们很快注意到在分析网络日志期间，大多数连接实际上被 C2 服务器拒绝了。 基于这些模式，似乎 C2 服务器在一天中的大部分时间是关闭的，仅在一个很短的时间窗口内有效。

TClient 样本一直使用到1月29日，当时在受感染的系统上部署了一个新的后门，与表3中列出的新 C2 服务器进行通信。我们将新的后门称为“DSNGInstaller”，这个名称源于 Payload 的内部名称，讽刺的是 DSNG 是数字卫星新闻采集(Digital Satellite News Gathering, DSNG)的公认首字母缩略词。 两个后门都活跃到2月8日，然后 TClient 样本被删除。

表4 概述了 DSNGInstaller 的功能（技术细节包含在附录C 中 ）。 这些功能类似于 TClient 提供的功能。

虽然目前尚不清楚为什么攻击者在多日成功地未被检测到之后换用了其他恶意软件，但我们会考虑潜在的情况。 TSSL 恶意软件可能被我们不知道的其他目标检测到，这导致攻击者换用检测率较低的鲜为人知的工具。 另一种可能的情况是，攻击者认为 DSNGInstaller 工具的接口更加强大，因此对于预期的长期访问更为可取。 最后，DSNGIntaller 可能是另一个攻击者的首选工具。 最后一种情况将代表多个远程攻击者之间会将其监视受害者转手。

第 3 部分：熟悉的联系

本节重点介绍议会活动和重浮水面活动之间的联系，以及称为“热带骑兵”的行动。

活动联系

重浮水面活动中使用的策略、技术和程序将其与议会活动和被称为“热带骑兵”的行动联系起来。

趋势科技于 2015 年发布了第一份关于热带骑兵行动的公开报告 ，描述了针对台湾和菲律宾政府机构，军事机构和公司的恶意软件活动。 该活动利用了旧漏洞（ CVE-2010–3333和CVE-2012–0158 ）并使用了定制的恶意软件，趋势科技将其视为 TROJ_YAHOYAH和BKDR_YAHAMAM。 

趋势科技指出，Yahoyah 恶意软件使用与 Rapid7 分析的 2013 版 KeyBoy 相同的编码配置文件算法，认为在这些活动或至少恶意软件的开发者之间是有联系的。

在 2016 年议会活动中使用的 KeyBoy 样品与 Rapid7 所描述的样品在配置文件的编码上发生了显著的变化。 在 2013 的版本中，配置文件使用简化的基于静态密钥的算法进行编码。 较新的编码算法放弃了静态加密密钥的使用，转而使用动态构造的查找表 。重浮水面互动和议会活动之间的主要联系是重复使用雅虎电子邮件地址（ Tibetanparliarnent[@]yahoo.com ）向西藏社区的目标发送钓鱼邮件。

最近，在 2018 年，趋势科技发布了热带骑兵的更新 ，注意到包含不同漏洞（ CVE-2017–11882 ， CVE-2018–0802 ）和 TSSL 工具套件的新感染链。 观察到的 C2 服务器中有一个域名（ tibetnews[.]today ），它与重浮水面活动中使用的域名的注册人信息相同。

图6 概述了这些活动之间的联系。

评估联系

活动之间的关系通常通过使用共同的技术指标（ 例如，恶意软件、服务器基础设施等）来绘制。 在某些情况下，这些联系可以把多个活动归因到某个“攻击者”或“小组”。 这些联系可以具有不同程度的强度，这也使得将活动归因到特定攻击者的可信度不同（参见表5）。

一阶联系通常需要直接观察针对目标的恶意活动，因此可能不会公开（例如，安全公司从客户获取数据）。 相比之下，二阶和 N 阶联系通常可以在研究人员之间被标准化，并用于在活动之间建立联系。 

例如，卡巴斯基根据使用的工具将据称是中国的威胁组织称为 Winnti 。 随着时间的推移，不同的活动和工具被分组在相同的名称下，例如，Microsoft 将与 Winnti 关联的多个小组称为 “BARIUM”和“LEAD”。 

虽然分组中的这些差异源于不同的一阶联系，但已经确定足够的二阶和 N 阶联系，以确定这都是 Winnti 的活动，ProtectWise 最近在报告中做了这一点。 在这些情况下，指标是有用的，但联系的强度可能不是很明显，并且可能导致非常广泛的分组和抽象。

对于热带骑兵，多家安全公司已经宣称他们建立了活动与攻击者的联系。 这些主张背后的证据强度并不总是很明显，但大多数似乎是二阶和/或 N 阶联系。 表 6 和图 7 详细介绍了这些报告中的联系。

*注意 ：此报告是第一次将 TSSL 工具包与热带骑兵相联系。 趋势科技未解释他们如何建立联系。

第 4 部分：分析封闭生态系统的挑战

本节讨论调查封闭式间谍活动的挑战，并将我们的调查置于更广泛的针对流亡藏人的数字间谍活动的趋势中。

重浮水面活动使用了一系列新的和以前观察到了的工具，这些工具与以前用于热带骑兵活动的工具有相同的技术特征。 但是，仅凭这些联系并不能让我们最终确定这些活动是由同一个攻击者运作的。 这种含糊不清的态度说明了在分析活动之间的联系以及理解封闭式间谍生态系统中不同参与者角色时所带来的一些分析上的挑战。

研究人员会给攻击者分组命名以识别他们。 虽然名称是至关重要的，但正如弗洛里安·罗斯（Florian Roth）和其他人所指出的那样，选择这些名称的过程可能会导致同一组拥有多个名称以及可能对名称所指的混淆。 这些活动与热带骑兵背后的“攻击者”之间的区别显示了其中的一些挑战。 

关于热带骑兵的报告在描述它时使用了各种各样不同的，有时是模糊的方式（见表7）。 这种变化指出了使用一致命名所固有的一些麻烦：名字是指恶意软件活动，它们背后的“攻击者”，还是常见的工具集？ 它并不总是很清楚。

命名的复杂性部分源于主要活动中可能存在的多个操作角色。 这些角色可能包括恶意软件开发人员、攻击者以及情报人员。 这些角色之间的关系可以是简单的，也可以是多层的。 例如，开发人员可以兼作攻击者。 恶意软件开发人员可以与多个攻击者共享相互独立的工具。 情报人员可能是活跃的（ 即 直接参与攻击活动）也或被动的（ 即 从攻击者那里获得信息）。 

不幸的是，在重浮水面活动中，我们看不到其组织角色的情况，这将不利于我们将其与热带骑兵之间建立更具决定性的关系。 同时，攻击者可以使用相同的工具来为多个情报人员处理多个任务。 当在活动间建立联系的主要手段是识别工具和基础设施时，这些复杂性就有可能带来挑战。

看看重浮水面活动中恶意软件和基础设施开发的时间表，可以说明这些挑战。 图8 显示，虽然基础设施是在发送第一个钓鱼邮件之前几个月部署的，但恶意软件的构建都是在活动开始前不久完成的。 基础设施部署和恶意软件构建之间的时差，再结合这次活动在代码上与热带骑兵相似的事实，表明恶意软件可能是在小组之间共享的资源。

重浮水面活动和议会活动与热带骑兵之间的联系识别攻击者以及他们与封闭间谍生态中其他成员的互动是困难的。 虽然这些活动共享工具和基础设施存在N阶联系，但仅根据这些信息，我们无法确定地说这些活动是由一个团体进行的。 被认为是热带骑兵的活动也针对一系列政府、工业和民间团体目标，这可能表明具有多个情报消费者。

一种封闭间谍生态的观点 A View into Closed Espionage Ecosystems

虽然开发者，攻击者和最终情报消费者之间的关系往往不明确，但美国司法部（DOJ）最近对中国境内的间谍团体提出的起诉书提供了这些团体如何互动的一瞥。

2014年，美国司法部指控五名人民解放军军官经济间谍罪。 据称，这些军官是 APT1 黑客组织的一部分， Mandiant 首先将其确定为人民解放军总参谋部第三局的第二局。 APT1 针对众多政府和 500 强公司，但公民实验室也发现了其针对西藏活动家和大型国际非政府组织 的行动。 

根据起诉书 ，APT1 服务的情报消费者包括：中国政府、以及寻求竞争对手知识产权和信息的中国公司。

在 2014 年的另一起案件中，美国司法部指控一名名叫苏斌的中国公民参与长期共谋，破坏美国主要的国防承包商，并向中国的实体出售有关技术项目的被盗信息。 

苏斌与两名名字未知的阴谋家合作进行了入侵。 起诉书指出，共谋者位于中国，并与“中国的多个组织和实体”有关。 共谋者获得了 220 万元人民币（约合 995,400 美元）。 这些攻击者彼此分享了一份报告 ，详细说明了针对其中一个目标的成功入侵行动。 该报告包括对“过去的成就”的描述，包括窃取“民主运动”（针对香港的民主活动家）和“西藏独立运动”的文件。

这些案例对开发商、攻击者和情报消费者之间的互动提供了罕见的一瞥，这表明情报消费者们为经济间谍活动提供数百万美元的计划同样可以用在民间组织上。 虽然第一类行动可能导致知识产权和财产损失，但第二类可能会对目标个人或其家庭造成直接伤害。

解决分析挑战

安全研究人员通常没有 DOJ 起诉书中引用的证据和透明度水平，并且必须依靠现有的技术指标来跟踪群体并假设他们在封闭的间谍生态系统中的动机和作用。 

未来工作的一个可能领域是使用正式方法（ 即 计算机科学中开发的用于描述硬件和软件系统属性的数学技术）来关联技术指标和活动。 这些技术可以提供更加系统的方式来将小组联系在一起，并减轻模糊性。 

但是正如我们所讨论的，攻击者和恶意软件开发人员的识别只是其中的一个难题。 了解数字间谍活动的最终危害需要与目标社区进行互动。

显示危害：公民社会的视角

数字间谍已经成为流亡藏人的常见威胁。 数字安全意识和防御方法现在已成为社区的必需品。 根据这一经验，对于藏人来说，间谍活动的危害是显而易见的。 西藏数字安全培训师 Lobsang Gyatso Sither 提供了一个观点：

近年来，我们已经看到攻击者改用了网络钓鱼的策略，这使得重浮水面活动成为自 2016 年以来首次被发现的针对一个社群的恶意软件活动实例。

该活动采用熟悉的社会工程技巧与定制的恶意软件相结合。 为了应对数字间谍活动的持续威胁，西藏团体已经开展基层工作以增加数字安全教育，但改变行为和学会技能需要时间和耐心。 

至少有一个组织受到重浮水面运动的影响，这表明熟悉的策略仍在使用，因为它们仍然有效。 然而，藏人并没有被这些威胁所阻挡，而是继续进行艰苦而必要的工作，以增强他们社区的能力，并防御数字间谍的攻击。

感谢帮助 iYouPort！

PayPal 捐赠渠道已开通 https://paypal.me/iyouport