越南黑客的“生死符”

一群越南黑客多年来一直在系统监视持不同政见的人，监视范围包括了德国。巴伐利亚广播公司（BR）和德国《时代周报》的调查显示，受害者感觉德国政府弃他们于不顾。

在收到警告之前，Bui Thanh Hieu 就已经支付了 200 欧元的出席费，准备在斯图加特附近地区的一次会议上发言。然而，随后便有人警告他：越南特工可能已经潜入了这次活动。Bui Thanh Hieu 是越南最知名的博主之一。大多数德国人都知道越南是个度假胜地，有着漂亮海滩和美味佳肴。Bui 则记录了越南的另一面：一个恐吓批评者的一党制国家；一个容许腐败、官僚专横的政权。

对越南人而言，“新闻自由”只是个看得见摸不着的概念，而 Bui 拍摄了警察用警棍殴打抗议者的画面，呈现给了越南观众。据他所言，他因为自己的工作被安全部队拘留了“大概十几次”。2013 年，他逃往德国，此后，Bui Thanh Hieu 一直在柏林生活和工作。他在 Facebook 上有几十万粉丝，并自称是“遣风者”。当然，他想回家，但他在接受采访时说，“如果我回去就只能蹲监狱”。他还说，他的父母被叫到了警局，警察辱骂他们没有好好教育孩子。

越南战争结束后，数十万越南人因饥饿和恐怖政权而逃离祖国。一些流亡海外的越南人组成了一个协会，并自 2002 年开始每年举行聚会，聚会地点有时在法国、有时在美国，2018 年则在斯图加特附近。在这四天的聚会里，他们畅谈越南的光明未来。他们希望，在未来，持不同政见的人不会被关进监狱，不用时不时遭受酷刑。

来自黑客的电子邮件

Bui 一收到警告便取消了行程。他担心自己可能被人监视了，越南政府可能将他们的触角伸到了德国。然而他不知道，黑客的触手已经伸向了他的邮箱。

Bui 很谨慎，他料到黑客盯上他已经有一段时间了，但这一次，他们是有备而来的。这些黑客显然知道他要去参加斯图加特的会议，而且利用这一点来引他上钩。会议前六周，他收到了一份邀请函。这是黑客发来的一封电子邮件，里面附有恶意软件。他点了进去。

Bui 在 2018 年 12 月 12 日收到了这样的邮件。发件人地址与原地址很相似，但是多了“th”两个字母。附件下载格式不正确，并没有显示预览图，而只显示了“文件名.docx”和一个链接。点进链接下载的不是斯图加特会议的邀请函，而是恶意软件。本图地址和链接均经过处理，隐藏了部分字母。

监视之下，孤立无援

这种网络攻击经过了周密的准备和时间安排，受害者只要点两下鼠标就会中招，因此对持政治异见的人来说非常危险。BR 和《时代周报》进行了为期几个月的研究，结果发现受害者众多，其中有反对派成员和人权活动家，他们许多人在德国感到孤立无援。如果他们运气好的话，信息安全专家会通知他们，网站被黑客攻击了，但除此之外，德国政府通常不会联系他们。研究结果还显示他们已无计可施了。网络间谍案中几乎没有任何既定程序来帮助持不同政见的人。

与受害者、调查人员和德国最高情报部门负责人等二十多人进行对话后，我们描绘出这群黑客的大致面貌，并推测他们的目的是维护越南的战略利益。研究还揭露了黑客们犯的错误。因此，我们的记者团队成功找出了哪些网站被用来传播恶意软件，继而发现黑客多年来一直试图监视着受害者。

“遣风者”担心线人暴露

两年后，也就是 2020 年夏天，Bui 在接受记者采访时才得知，黑客给他发来了假的会议邀请函邮件。他首先担心的是自己的线人。“如果我的笔记本里有恶意软件，政府就会知道是谁给我提供这种信息的。”这也将殃及执政党和国家机关中的线人，置他们于危险之中。一位信息安全专家同意对他的电脑进行恶意软件扫描，记者团队也为他们俩建立了联系。对 Bui 来说，最重要的是要以防万一，这个专家要与越南无任何关联。

“遣风者” Bui Thanh Hieu。© Felix Burchardt，《时代周报》

Bui 带着一小队人来到了会场。德国几乎每个城市都有帮助他的人，而柏林也不例外。当 Bui 从一位支持者的车上下来时，阳光正好。他的背包上写着“放轻松”，这是 Bui 的信条。他整了整头上的鸭舌帽，给自己点了一支烟。一个支持者给他安排了一位能把电脑术语翻译成越南语的人。

Bui 把笔记本电脑和密码交给信息安全专家时，专家保证至少在未经协商的情况下不会复制任何文件。他说他大约一个小时后准备就绪。Bui 的面部表情很少。在两次会议中，他的脸上只有一瞬流露出了内心情感——那一刻，他得知有黑客在监视他的电脑。

网络攻击留下蛛丝马迹

要找出谁是网络攻击的幕后黑手也许很难，但也并非不可能，因为网络攻击会留下蛛丝马迹。原则上，这些痕迹是可以抹去的，但信息安全专家和情报部门有时会持续几年追踪这些黑客团体，更何况，黑客也会犯错。

在 Bui 的案件中，这些痕迹指向了一个可能替越南政府行事的团体。专家们给这个团体起了很多名字，其中“APT32”和“海莲”是最著名的两个代号。Bui 与十几位信息安全专家交谈后一致认为，这个越南团体在专门监视自己的同胞。

BR 和《时代周报》的记者团队通过技术调查，证实了这一说法。记者团队发现了数百台被感染的电脑，暗示了黑客可能特别关注的目标人群：越南公民。“海莲”拥有一个装备齐全的数字工具箱，用于放置恶意软件。他们还用一些新鲜的手段从被监视的电脑中获取数据。

“海莲”给病毒下达指令，诱使用户访问一个预先设定的、属于“海莲”的网站。信息安全公司 ESET 发现，该网址的前半部分包含了重要信息，因为那是黑客给所监视的计算机起的名字，有一些计算机名透露了比较多的信息，例如“asean”代表了“东盟”。“海莲”一直在攻击东盟的计算机，并在 2017 年成功侵入。可以得知，有一个与东盟无关的人物可能将他们监视的东盟计算机命名为“asean”。

记者团队评估了信息安全公司 Farsight 的数据库。Farsight 在数据库中详述了域名和 IP 地址的关系。这些数据是多年以前收集的，显示了哪些计算机受到了黑客的监视。记者团队通过这个数据库接触到了成百上千的计算机名，其中只有 80 个指向了拥有越南姓名的用户。有一些计算机名中包含的缩写显示这些用户为国家机关效力。

任务广泛

Adam Meyers 是信息安全公司 Crowdstrike 的副总裁，主管情报业务，他多年来一直在监控这个越南黑客团体。“他们自 2012 年以来一直很活跃，频繁攻击了居住在中国、越南、柬埔寨、菲律宾或德国的人。”他说。他还补充，这些黑客的目标是能源、金融、酒店和汽车行业，也包括政府、媒体和人权组织。“我们所谈到的这个黑客团体不是在父母家地下室里发动黑客攻击的六个无名小卒，而是一个军事组织。我们谈论的是计算机网络操作的最重要实体，一个来自健全的民族国家、能够完成广泛任务的组织。”据另一位不愿提及姓名的 IT 安全专家称，“海莲”是“全球最活跃的五个黑客团体之一”。

没有明确的证据显示越南政府向该组织下达了命令，但这个猜测有迹可循。有人要求越南驻柏林大使馆就此事发表评论，而他们坚决否认越南是网络攻击的幕后黑手，并拒绝任何此类指控：“网络攻击和对威胁网络安全的行为必须受到谴责和依法严惩。”大使馆还说，越南准备与国际社会合作，以防止未来的攻击。不过，一位效力于德国安全部门、关注各国及其黑客的人告诉 BR 和《时代周报》的记者：“在越南这样的国家，一个黑客集团如此大规模地发动攻击，不可能没有政府的授意。”

让我们回到 Bui Thanh Hieu 目瞪口呆的那一刻。信息安全专家探查了他的电脑，寻找是否有黑客的踪迹，然后说出了一个让他吃惊的答案。他认真地听着翻译的话，似乎每一个细节对他来说都很重要。Bui 想知道他是否需要警告他的线人、安全专家是否检查过他的邮箱。他说，就在几个月前，他又发现了可疑的电子邮件。

专家没有发现任何恶意软件。他闻言后，似乎很惊讶，看上去他坚信会有黑客的踪迹。毕竟 Bui 强调他打开了邮件，这应该足以让黑客侵入他的电脑，但是专家一无所获。专家怀疑黑客抹去了他们的痕迹。他还说，他需要更多的时间进行进一步的分析，几个小时可能搞不定，得用上好几天。此刻，Bui 松了一口气。

网络间谍活动更容易撇清罪名

Bui 把没有受感染的笔记本电脑塞进背包，聊起了他在德国的生活。“我不知道这里安不安全，但无论如何，这里比越南要安全得多。如果我在德国不安全，在任何地方都不会安全。”

现在他已经知道，仅在 2019 年，他就收到了三封来自“海莲”的邮件，这意味着他们三次尝试发动攻击，监视他的笔记本电脑。在这三起事件中，他的笔记本上也没有留下任何痕迹。但这些事件表明，黑客在打探他的秘密。即使 Bui 到目前为止运气还不错，但好运无法永远伴随他。

网络间谍活动使各国能够跨越国界监视他们的“眼中钉”。与其训练特工潜入飞机舱、在行政楼层神不知鬼不觉地放窃听器，不如用互联网线路发送病毒就可以了。“你不需要全方位的监控，”一位追捕政府黑客的信息安全专家说，“如果你想知道别人在说什么，打开手机上的麦克风就行了。”

网络间谍另一个优势是，他们比传统的特工更容易撇清指控。传统特工的行动一旦公开，就会引起国际丑闻，2017 年就发生了这样的事情。越南前官员和商人 Trinh Xuan Thanh 与女友在柏林大蒂尔加滕公园散步时，据传来自越南特勤局的特工从一辆面包车上跳下来，把两人拖进了车里。他们以抓捕外逃德国的贪官为由对两人进行了绑架，触犯了国际法，还导致 Thanh 女朋友手臂骨折，Thanh 的手机也在柏油路上摔得四分五裂。

Trinh Xuan Thanh 在党内精英阶层的权力斗争中落败，因此离开了越南。他在越南备受憎恨，甚至连民众也唾骂他，认为他是一个腐败的政客，成天开着一辆 25 万美元的雷克萨斯在河内招摇过市。他被绑架后不久，就出现在越南国家电视台。他在河内被判处了终生监禁。

这次行动无论在经济上还是外交上都可能付出了很高的代价，越南和德国的外交关系也因此中止。

Matthias Schulze 在德国智库德国国际政治和安全事务研究所研究黑客攻击，他表示，在网络世界中，这种攻击引起的关注较少，安保水平也不是很高。“这就为获取信息敞开了大门，网络攻击的种种“好处”几乎在怂恿着各国成立黑客组织。这非常划得来，低成本高回报。”

黑客目的地：慕尼黑

目标：宝马公司

自 2019 年春季开始，黑客就通过越南和宝马公司的贸易往来对宝马实施网络攻击。越南目前正在建设汽车工业，于是发动机从慕尼黑的宝马公司不断运往河内，而黑客也不断从河内攻向宝马公司。BR 的调查显示，这场攻击持续了几个月。但黑客还没侵入慕尼黑的网络、带走敏感数据，就暴露了。虽说不能百分百确定是工业间谍所为，但此种可能性很大。宝马公司至今还没有发表任何公开声明。

BR和《时代周报》的另一项技术分析揭示了黑客的活跃程度。因为“海莲”可能犯的一个错误，我们可以看到黑客为了传播其恶意软件而设立的数百个网站。

用户浏览网站之前，浏览器会检查用户身份。通常每个网站都有自己的数字 ID，即安全证书。如果两个不同的网站拥有同一个证书，那么他们就属于同一个人，这就是“海莲”露出马脚的地方。记者团队在信息安全公司 DomainTools 的数据库中发现，“海莲”有大概 280 个网页用了同一个证书，网络安全公司 RiskIQ 的专家也查探到了这个证书，并且也追踪到了“海莲”。

柏林——“间谍之都”

这里是柏林一栋不起眼的办公楼：窗帘拉得严严实实，温度很低，穿着合身西装的保安戴着耳麦守在门口。这座大楼就是德国联邦宪法保卫局，房间里摆放着巨大的会议桌，与采访的人数之少形成鲜明对比，桌上摆放着一台的电子设备，这是 BR 和《时代周报》的记者可以带进门的唯一一台电子设备，手机和笔记本电脑只能寄存在门口。

德国最高安全代理人、联邦宪法保护局主席 Thomas Haldenwang 平静地评价情报部门“比以前更健全了”。几十年来，间谍故事大多只存在于电影里，但现在在网络攻击事故会议上，德国极端主义和恐怖主义联合防御中心相关工作组越来越喜欢用“间谍只是传说”作为借口。

Haldenwang 最近宣称柏林是“间谍之都”。他在接受 BR 和《时代周报》采访时解释说，德国是欧洲中部的重要国家，因此外国有关部门对德国政治非常感兴趣。“德国是国际关系的广泛参与者，许多国家的侨民都住在这里”。2016 年土耳其政变失败后，土耳其居伦运动的支持者受到了监视，而伊朗则试图恐吓反对派成员。

同时，正如 Haldenwang 所说，网络攻击已经成为许多外国机构的“首选手段”。联邦宪法保卫局从 2014 年开始观察“海莲”的黑客，他们注意到，这群黑客“对某些具有越南背景的群体感兴趣”。Haldenwang 说：“这是我们认为与越南有明显关联的另一佐证”。然而，没有明确的证据指向越南，尤其是越南的情报部门。

程序不完善

Haldenwang 描述了反间谍工作的一个核心问题。当“海莲”活跃于德国时，联邦宪法保卫局向国内汽车行业发出了警告。德国政府和业界之间有一套完善的程序。“当异见人士被监视时，情况就不同了。如果我们察觉到异见人士受到威胁，我们会与警方讨论进一步的措施。”警方负责立即实施保护。

然而，网络间谍活动往往是一种准备活动。我们不能从一封电子邮件中看出网络间谍活动是否会发展成真正的威胁。据 Haldenwang 所说，协助警方是联邦宪法保卫局的任务之一。然而，他说，“没有一个警察局能够昼夜守护这一大群人”。

几个月过去了，警察还没有答复

Vu Quoc Dung 就是一个典型的例子。如今，他怀疑自己能否依靠德国政府。几个月前，他得知自己被黑客盯上了，但是一直没有人帮助他。Vu 是越南人权运动网站“否决”网络的董事。他在欧洲议会前发言、会见了德国联邦议院的政治家，还会见了德国总统 Frank-Walter Steinmeier。

人权工作者 Vu Quoc Dung。© BR

2020 年 5 月 12 日，朋友们问 Vu，他是否发了一封邮件，说了些越南政府的小道消息。电邮地址跟他的很相似，还有他的签名，但那封电邮是“海莲”发出的，还发给了他的侄子和一位报道越南社会的德国《日报》记者。“否决”网络提起了诉讼，然而几个月来案件毫无进展。

Vu 的侄子 Huy 在工作时学会了识别含有病毒的电子邮件。“当我收到一个新的电邮地址发来的邮件，里面还带有附件时，我就很谨慎。”Huy 在电话采访中说道。出于好奇，他写了一封回信。不到两个小时后，黑客居然回复了——以所谓“Vu 舅舅”的身份——问他“咋了”。“我舅舅的语气绝不是这样的。”Huy 说。

专业黑客软件“钴袭击”

信息安全公司 Volexity 的专家 Steven Adair 解释，如果有人下载了黑客发送的文件，他们的技术人员就会安装名为“钴袭击”的专业黑客软件。他分析了包含恶意软件的邮件。“钴袭击”是一家美国公司的软件，价格是在几千欧元一年。该软件框架非常强大，因此美国政府不得不同意将其出售给许多国家。专家们一接到企业的订单，就会立即使用该软件，以合法测试其信息安全性。

可以说，“海莲”的黑客们也在测试政府和企业网络的信息安全，尽管他们是主动和非法的。Steven Adair 说，如果他们得手了，就会把数据外流回到自己的服务器上。

Steven Adair 早已认识 Vu Quoc Dung。2017 年人权组织“否决”网站被黑客攻击后，Adair 联系了他们。除了“否决”网站，黑客还占领了 100 多个网站。“这些网站中的绝对大多数，有大约 80 到 90 个都与越南有关。” Steven Adair 解释说。越南天主教徒的网站和一家当地新闻网站也成为攻击目标，同样未能幸免的还有一家钢铁公司的网站，该公司的越南工厂给越南带来了很大的环境问题。

Adair 分析了“否决”网站，并移除了黑客的工具。他对此解释道：“他们为网站的每个访问者建立了一个档案。”他估计，在每天 10 万名访问者中，只有 10 人可能会引起黑客的兴趣。“一旦他们锁定某个人，黑客就会改变网站的外观。”例如，突然弹出一个谷歌登录窗口。黑客就是这样获得了这些人的登录数据，从而以他们的名义阅读和发送电子邮件。

多年后，从他们发出的电子邮件可见，“海莲”的黑客仍在针对 Vu Quoc Dung，这显然是一起网络间谍案。“我们将电子邮件的文本从越南语翻译成德语，并详细解释了为什么我们提起刑事指控。”Vu Quoc Dung 说。但当 BR 和《时代周报》联系到他时，负责的警察当局回信说，这个案子最后是在诈骗部门处理的。警方显然曾试图通过电话以及电子邮件联系 Vu。然而，BR 和《时代周报》能够发现，他们错给黑客的地址发送了电子邮件。在记者提出要求后，警方邀请 Vu 再次接受笔录。

“否决”网站正试图在此期间保护自己，即使很可能徒劳无功，Vu 解释说：“我不认为我们作为一个小组织，有可能抵御一群也许得到了国家支持的黑客。”在 Vu 看来，德国政府才是罪魁祸首。“我们希望人权团体成为攻击目标时，国家或警察可以尽力保护它们。”

德国联邦政府的任务

埃朗根-纽伦堡大学国际刑法和国际法教授 Christoph Safferling 和 Vu 持有相同的看法。他说，保护这些人是联邦政府的任务，是宪法规定的义务。“如果我们想在德国进行公正的合作，就不能允许外国特务机构监视流亡者。”他还说，人们必须意识到问题的严重性：“这些人不是偶然来到这里的外国人，他们是我们社会的一部分，必须能够在这里和平、自由地生活。”

“海莲”的黑客们恰恰要阻止他们自由自在的生活，这也是他们名字的含义。2011 年，他们在开始活动时就给自己起了一个越南名字：Sinh Tu Lenh，暗喻着掌控生死。这个名字出自金庸小说中出现的“生死符”，而在越南，金庸武侠小说和电影很受欢迎。

使用这一符咒的人都能让别人受制于他。受害者会遭受到极度的痛苦，而且在服从符咒主人后才能得到缓解。恶意软件就是“海莲”的生死符。黑客们就像小说人物一样，控制着受害者，或者说，控制着越南政权抨击者的键盘、屏幕、文件，直到他们乖乖就范。

END

作者：

Hakan Tanriverdi, Max Zierer, Ann-Kathrin Wetter (BR), Kai Biermann, Thi Do Nguyen (Zeit Online）