OIN:越南黑客的“生死符”

一群越南黑客多年來一直在系統監視持不同政見的人，監視范圍包括了德國。巴伐利亞廣播公司（BR）和德國《時代周報》的調查顯示，受害者感覺德國政府棄他們于不顧。

在收到警告之前，Bui Thanh Hieu 就已經支付了 200 歐元的出席費，準備在斯圖加特附近地區的一次會議上發言。然而，隨后便有人警告他：越南特工可能已經潛入了這次活動。Bui Thanh Hieu 是越南最知名的博主之一。大多數德國人都知道越南是個度假勝地，有著漂亮海灘和美味佳肴。Bui 則記錄了越南的另一面：一個恐嚇批評者的一黨制國家；一個容許腐敗、官僚專橫的政權。

對越南人而言，“新聞自由”只是個看得見摸不著的概念，而 Bui 拍攝了警察用警棍毆打抗議者的畫面，呈現給了越南觀眾。據他所言，他因為自己的工作被安全部隊拘留了“大概十幾次”。2013 年，他逃往德國，此后，Bui Thanh Hieu 一直在柏林生活和工作。他在 Facebook 上有幾十萬粉絲，并自稱是“遣風者”。當然，他想回家，但他在接受采訪時說，“如果我回去就只能蹲監獄”。他還說，他的父母被叫到了警局，警察辱罵他們沒有好好教育孩子。

越南戰爭結束后，數十萬越南人因饑餓和恐怖政權而逃離祖國。一些流亡海外的越南人組成了一個協會，并自 2002 年開始每年舉行聚會，聚會地點有時在法國、有時在美國，2018 年則在斯圖加特附近。在這四天的聚會里，他們暢談越南的光明未來。他們希望，在未來，持不同政見的人不會被關進監獄，不用時不時遭受酷刑。

Bui 一收到警告便取消了行程。他擔心自己可能被人監視了，越南政府可能將他們的觸角伸到了德國。然而他不知道，黑客的觸手已經伸向了他的郵箱。

Bui 很謹慎，他料到黑客盯上他已經有一段時間了，但這一次，他們是有備而來的。這些黑客顯然知道他要去參加斯圖加特的會議，而且利用這一點來引他上鉤。會議前六周，他收到了一份邀請函。這是黑客發來的一封電子郵件，里面附有惡意軟件。他點了進去。

Bui 在 2018 年 12 月 12 日收到了這樣的郵件。發件人地址與原地址很相似，但是多了“th”兩個字母。附件下載格式不正確，并沒有顯示預覽圖，而只顯示了“文件名.docx”和一個鏈接。點進鏈接下載的不是斯圖加特會議的邀請函，而是惡意軟件。本圖地址和鏈接均經過處理，隱藏了部分字母。

數據：越南整體加密貨幣采用指數排名第一，中國排名第十:9月17日消息，據區塊鏈數據分析服務商 Chainalysis 的 2022 年全球加密貨幣采用指數報告顯示，新興市場在加密貨幣采用方面處于領先地位，其中越南整體指數排名第一，菲律賓、烏克蘭、印度、美國緊隨其后，中國整體指數排名第十。

此外，加密貨幣的全球采用率在2021年第二季度達到了目前的歷史新高，而過去兩個季度中每一個季度都處于下跌趨勢。[2022/9/17 7:03:32]

這種網絡攻擊經過了周密的準備和時間安排，受害者只要點兩下鼠標就會中招，因此對持異見的人來說非常危險。BR 和《時代周報》進行了為期幾個月的研究，結果發現受害者眾多，其中有反對派成員和人權活動家，他們許多人在德國感到孤立無援。如果他們運氣好的話，信息安全專家會通知他們，網站被黑客攻擊了，但除此之外，德國政府通常不會聯系他們。研究結果還顯示他們已無計可施了。網絡間諜案中幾乎沒有任何既定程序來幫助持不同政見的人。

與受害者、調查人員和德國最高情報部門負責人等二十多人進行對話后，我們描繪出這群黑客的大致面貌，并推測他們的目的是維護越南的戰略利益。研究還揭露了黑客們犯的錯誤。因此，我們的記者團隊成功找出了哪些網站被用來傳播惡意軟件，繼而發現黑客多年來一直試圖監視著受害者。

兩年后，也就是 2020 年夏天，Bui 在接受記者采訪時才得知，黑客給他發來了假的會議邀請函郵件。他首先擔心的是自己的線人。“如果我的筆記本里有惡意軟件，政府就會知道是誰給我提供這種信息的。”這也將殃及執政黨和國家機關中的線人，置他們于危險之中。一位信息安全專家同意對他的電腦進行惡意軟件掃描，記者團隊也為他們倆建立了聯系。對 Bui 來說，最重要的是要以防萬一，這個專家要與越南無任何關聯。

“遣風者” Bui Thanh Hieu。? Felix Burchardt，《時代周報》

Bui 帶著一小隊人來到了會場。德國幾乎每個城市都有幫助他的人，而柏林也不例外。當 Bui 從一位支持者的車上下來時，陽光正好。他的背包上寫著“放輕松”，這是 Bui 的信條。他整了整頭上的鴨舌帽，給自己點了一支煙。一個支持者給他安排了一位能把電腦術語翻譯成越南語的人。

CoinBene越南分站CEO Aiden: 行情變好，預計越南加密貨幣市場規模會快速擴大:近日，CoinBene越南分站CEO Aiden在接受媒體采訪時表示：“雖然經濟受疫情影響，出現了不同程度的下滑，但也因此更多的越南投資者開始關注加密貨幣。據CoinBene越南站數據顯示，4月份交易日活躍數創歷史新高，比3月份增長超60%。隨著行情變好，比特幣不斷試探10000美元關口，越來越多的越南用戶開始在CoinBene上用合約做多BTC來賺取更多的收益了。”

CoinBene滿幣在全球180多個國家和地區擁有500多萬用戶，2019年初，平臺戰略布局合約衍生品市場，主要為投資者提供以BTC、USDT進行結算，且安全、穩定的永續合約服務。CoinBene越南分站成立于2019年10月，輻射整個東南亞市場，目前日均交易額2億美元左右，員工30余人。[2020/5/15]

Bui 把筆記本電腦和密碼交給信息安全專家時，專家保證至少在未經協商的情況下不會復制任何文件。他說他大約一個小時后準備就緒。Bui 的面部表情很少。在兩次會議中，他的臉上只有一瞬流露出了內心情感——那一刻，他得知有黑客在監視他的電腦。

要找出誰是網絡攻擊的幕后黑手也許很難，但也并非不可能，因為網絡攻擊會留下蛛絲馬跡。原則上，這些痕跡是可以抹去的，但信息安全專家和情報部門有時會持續幾年追蹤這些黑客團體，更何況，黑客也會犯錯。

在 Bui 的案件中，這些痕跡指向了一個可能替越南政府行事的團體。專家們給這個團體起了很多名字，其中“APT32”和“海蓮”是最著名的兩個代號。Bui 與十幾位信息安全專家交談后一致認為，這個越南團體在專門監視自己的同胞。

BR 和《時代周報》的記者團隊通過技術調查，證實了這一說法。記者團隊發現了數百臺被感染的電腦，暗示了黑客可能特別關注的目標人群：越南公民。“海蓮”擁有一個裝備齊全的數字工具箱，用于放置惡意軟件。他們還用一些新鮮的手段從被監視的電腦中獲取數據。

“海蓮”給病下達指令，誘使用戶訪問一個預先設定的、屬于“海蓮”的網站。信息安全公司 ESET 發現，該網址的前半部分包含了重要信息，因為那是黑客給所監視的計算機起的名字，有一些計算機名透露了比較多的信息，例如“asean”代表了“東盟”。“海蓮”一直在攻擊東盟的計算機，并在 2017 年成功侵入。可以得知，有一個與東盟無關的人物可能將他們監視的東盟計算機命名為“asean”。

越南票務代理公司接受基于閃電網絡的BTC支付:越南在線票務代理公司Future.Travel現在通過閃電網絡接受比特幣（BTC）支付，在出售時資金會轉換為當地貨幣。為了實現基于閃電網絡的比特幣支付，Future.Travel與加拿大科技公司Neutronpay合作，該公司將為Future.Travel提供其多幣種商戶平臺。（Cointelegraph）[2020/4/20]

記者團隊評估了信息安全公司 Farsight 的數據庫。Farsight 在數據庫中詳述了域名和 IP 地址的關系。這些數據是多年以前收集的，顯示了哪些計算機受到了黑客的監視。記者團隊通過這個數據庫接觸到了成百上千的計算機名，其中只有 80 個指向了擁有越南姓名的用戶。有一些計算機名中包含的縮寫顯示這些用戶為國家機關效力。

Adam Meyers 是信息安全公司 Crowdstrike 的副總裁，主管情報業務，他多年來一直在監控這個越南黑客團體。“他們自 2012 年以來一直很活躍，頻繁攻擊了居住在中國、越南、柬埔寨、菲律賓或德國的人。”他說。他還補充，這些黑客的目標是能源、金融、酒店和汽車行業，也包括政府、媒體和人權組織。“我們所談到的這個黑客團體不是在父母家地下室里發動黑客攻擊的六個無名小卒，而是一個軍事組織。我們談論的是計算機網絡操作的最重要實體，一個來自健全的民族國家、能夠完成廣泛任務的組織。”據另一位不愿提及姓名的 IT 安全專家稱，“海蓮”是“全球最活躍的五個黑客團體之一”。

沒有明確的證據顯示越南政府向該組織下達了命令，但這個猜測有跡可循。有人要求越南駐柏林大使館就此事發表評論，而他們堅決否認越南是網絡攻擊的幕后黑手，并拒絕任何此類指控：“網絡攻擊和對威脅網絡安全的行為必須受到譴責和依法嚴懲。”大使館還說，越南準備與國際社會合作，以防止未來的攻擊。不過，一位效力于德國安全部門、關注各國及其黑客的人告訴 BR 和《時代周報》的記者：“在越南這樣的國家，一個黑客集團如此大規模地發動攻擊，不可能沒有政府的授意。”

讓我們回到 Bui Thanh Hieu 目瞪口呆的那一刻。信息安全專家探查了他的電腦，尋找是否有黑客的蹤跡，然后說出了一個讓他吃驚的答案。他認真地聽著翻譯的話，似乎每一個細節對他來說都很重要。Bui 想知道他是否需要警告他的線人、安全專家是否檢查過他的郵箱。他說，就在幾個月前，他又發現了可疑的電子郵件。

動態 | 越南胡志明市計劃制定區塊鏈相關監管框架以建設智能城市:上周五在胡志明市，西貢高科技園區管理委員會代理主席LêBíchLoan與韓國的CBA風險投資公司簽署了一份諒解備忘錄。胡志明市計劃制定與區塊鏈技術相關的監管框架和政策，以最大限度地降低建設智能城市的潛在風險。該市人民委員會副主席說:“這座城市會優先考慮應用科學和技術的項目，特別是使用人工智能和區塊鏈技術解決城市問題，發展智能城市”。此外，胡志明市科技部將通過一個名為“到2025年支持國家創新創業生態系統”的新項目，優先扶持區塊鏈創業企業。（VietNam News）[2019/11/11]

專家沒有發現任何惡意軟件。他聞言后，似乎很驚訝，看上去他堅信會有黑客的蹤跡。畢竟 Bui 強調他打開了郵件，這應該足以讓黑客侵入他的電腦，但是專家一無所獲。專家懷疑黑客抹去了他們的痕跡。他還說，他需要更多的時間進行進一步的分析，幾個小時可能搞不定，得用上好幾天。此刻，Bui 松了一口氣。

網絡間諜活動更容易撇清罪名

Bui 把沒有受感染的筆記本電腦塞進背包，聊起了他在德國的生活。“我不知道這里安不安全，但無論如何，這里比越南要安全得多。如果我在德國不安全，在任何地方都不會安全。”

現在他已經知道，僅在 2019 年，他就收到了三封來自“海蓮”的郵件，這意味著他們三次嘗試發動攻擊，監視他的筆記本電腦。在這三起事件中，他的筆記本上也沒有留下任何痕跡。但這些事件表明，黑客在打探他的秘密。即使 Bui 到目前為止運氣還不錯，但好運無法永遠伴隨他。

網絡間諜活動使各國能夠跨越國界監視他們的“眼中釘”。與其訓練特工潛入飛機艙、在行政樓層神不知鬼不覺地放竊聽器，不如用互聯網線路發送病就可以了。“你不需要全方位的監控，”一位追捕政府黑客的信息安全專家說，“如果你想知道別人在說什么，打開手機上的麥克風就行了。”

網絡間諜另一個優勢是，他們比傳統的特工更容易撇清指控。傳統特工的行動一旦公開，就會引起國際丑聞，2017 年就發生了這樣的事情。越南前官員和商人 Trinh Xuan Thanh 與女友在柏林大蒂爾加滕公園散步時，據傳來自越南特勤局的特工從一輛面包車上跳下來，把兩人拖進了車里。他們以抓捕外逃德國的貪官為由對兩人進行了綁架，觸犯了國際法，還導致 Thanh 女朋友手臂骨折，Thanh 的手機也在柏油路上摔得四分五裂。

動態 | 越南VNCOINS董事長及CEO在胡志明市被起訴:據Vietnamnews報道，總部位于越南胡志明市的“VNCOINS”董事長Nguyen Huu Tien和首席執行官Pham Viet Son因涉嫌以欺騙手段獲取資產被起訴。此前，他們已于7月19日被拘留。Tien于2016年成立數字貨幣投資公司OTCMAX，于2017年9月更名為VNCOINS，曾舉辦多個研討會，呼吁投資數字貨幣及大型項目。[2018/8/3]

Trinh Xuan Thanh 在黨內精英階層的權力斗爭中落敗，因此離開了越南。他在越南備受憎恨，甚至連民眾也唾罵他，認為他是一個腐敗的政客，成天開著一輛 25 萬美元的雷克薩斯在河內招搖過市。他被綁架后不久，就出現在越南國家電視臺。他在河內被判處了終生監禁。

這次行動無論在經濟上還是外交上都可能付出了很高的代價，越南和德國的外交關系也因此中止。

Matthias Schulze 在德國智庫德國國際和安全事務研究所研究黑客攻擊，他表示，在網絡世界中，這種攻擊引起的關注較少，安保水平也不是很高。“這就為獲取信息敞開了大門，網絡攻擊的種種“好處”幾乎在慫恿著各國成立黑客組織。這非常劃得來，低成本高回報。”

黑客目的地：慕尼黑

目標：寶馬公司

自 2019 年春季開始，黑客就通過越南和寶馬公司的貿易往來對寶馬實施網絡攻擊。越南目前正在建設汽車工業，于是發動機從慕尼黑的寶馬公司不斷運往河內，而黑客也不斷從河內攻向寶馬公司。BR 的調查顯示，這場攻擊持續了幾個月。但黑客還沒侵入慕尼黑的網絡、帶走敏感數據，就暴露了。雖說不能百分百確定是工業間諜所為，但此種可能性很大。寶馬公司至今還沒有發表任何公開聲明。

BR和《時代周報》的另一項技術分析揭示了黑客的活躍程度。因為“海蓮”可能犯的一個錯誤，我們可以看到黑客為了傳播其惡意軟件而設立的數百個網站。

用戶瀏覽網站之前，瀏覽器會檢查用戶身份。通常每個網站都有自己的數字 ID，即安全證書。如果兩個不同的網站擁有同一個證書，那么他們就屬于同一個人，這就是“海蓮”露出馬腳的地方。記者團隊在信息安全公司 DomainTools 的數據庫中發現，“海蓮”有大概 280 個網頁用了同一個證書，網絡安全公司 RiskIQ 的專家也查探到了這個證書，并且也追蹤到了“海蓮”。

這里是柏林一棟不起眼的辦公樓：窗簾拉得嚴嚴實實，溫度很低，穿著合身西裝的保安戴著耳麥守在門口。這座大樓就是德國聯邦憲法保衛局，房間里擺放著巨大的會議桌，與采訪的人數之少形成鮮明對比，桌上擺放著一臺的電子設備，這是 BR 和《時代周報》的記者可以帶進門的唯一一臺電子設備，手機和筆記本電腦只能寄存在門口。

德國最高安全代理人、聯邦憲法保護局主席 Thomas Haldenwang 平靜地評價情報部門“比以前更健全了”。幾十年來，間諜故事大多只存在于電影里，但現在在網絡攻擊事故會議上，德國極端主義和恐怖主義聯合防御中心相關工作組越來越喜歡用“間諜只是傳說”作為借口。

Haldenwang 最近宣稱柏林是“間諜之都”。他在接受 BR 和《時代周報》采訪時解釋說，德國是歐洲中部的重要國家，因此外國有關部門對德國非常感興趣。“德國是國際關系的廣泛參與者，許多國家的僑民都住在這里”。2016 年土耳其政變失敗后，土耳其居倫運動的支持者受到了監視，而伊朗則試圖恐嚇反對派成員。

同時，正如 Haldenwang 所說，網絡攻擊已經成為許多外國機構的“首選手段”。聯邦憲法保衛局從 2014 年開始觀察“海蓮”的黑客，他們注意到，這群黑客“對某些具有越南背景的群體感興趣”。Haldenwang 說：“這是我們認為與越南有明顯關聯的另一佐證”。然而，沒有明確的證據指向越南，尤其是越南的情報部門。

Haldenwang 描述了反間諜工作的一個核心問題。當“海蓮”活躍于德國時，聯邦憲法保衛局向國內汽車行業發出了警告。德國政府和業界之間有一套完善的程序。“當異見人士被監視時，情況就不同了。如果我們察覺到異見人士受到威脅，我們會與討論進一步的措施。”負責立即實施保護。

然而，網絡間諜活動往往是一種準備活動。我們不能從一封電子郵件中看出網絡間諜活動是否會發展成真正的威脅。據 Haldenwang 所說，協助是聯邦憲法保衛局的任務之一。然而，他說，“沒有一個警察局能夠晝夜守護這一大群人”。

幾個月過去了，警察還沒有答復

Vu Quoc Dung 就是一個典型的例子。如今，他懷疑自己能否依靠德國政府。幾個月前，他得知自己被黑客盯上了，但是一直沒有人幫助他。Vu 是越南人權運動網站“否決”網絡的董事。他在歐洲議會前發言、會見了德國聯邦議院的家，還會見了德國總統 Frank-Walter Steinmeier。

人權工作者 Vu Quoc Dung。? BR

2020 年 5 月 12 日，朋友們問 Vu，他是否發了一封郵件，說了些越南政府的小道消息。電郵地址跟他的很相似，還有他的簽名，但那封電郵是“海蓮”發出的，還發給了他的侄子和一位報道越南社會的德國《日報》記者。“否決”網絡提起了訴訟，然而幾個月來案件毫無進展。

Vu 的侄子 Huy 在工作時學會了識別含有病的電子郵件。“當我收到一個新的電郵地址發來的郵件，里面還帶有附件時，我就很謹慎。”Huy 在電話采訪中說道。出于好奇，他寫了一封回信。不到兩個小時后，黑客居然回復了——以所謂“Vu 舅舅”的身份——問他“咋了”。“我舅舅的語氣絕不是這樣的。”Huy 說。

信息安全公司 Volexity 的專家 Steven Adair 解釋，如果有人下載了黑客發送的文件，他們的技術人員就會安裝名為“鈷襲擊”的專業黑客軟件。他分析了包含惡意軟件的郵件。“鈷襲擊”是一家美國公司的軟件，價格是在幾千歐元一年。該軟件框架非常強大，因此美國政府不得不同意將其出售給許多國家。專家們一接到企業的訂單，就會立即使用該軟件，以合法測試其信息安全性。

可以說，“海蓮”的黑客們也在測試政府和企業網絡的信息安全，盡管他們是主動和非法的。Steven Adair 說，如果他們得手了，就會把數據外流回到自己的服務器上。

Steven Adair 早已認識 Vu Quoc Dung。2017 年人權組織“否決”網站被黑客攻擊后，Adair 聯系了他們。除了“否決”網站，黑客還占領了 100 多個網站。“這些網站中的絕對大多數，有大約 80 到 90 個都與越南有關。” Steven Adair 解釋說。越南天主教徒的網站和一家當地新聞網站也成為攻擊目標，同樣未能幸免的還有一家鋼鐵公司的網站，該公司的越南工廠給越南帶來了很大的環境問題。

Adair 分析了“否決”網站，并移除了黑客的工具。他對此解釋道：“他們為網站的每個訪問者建立了一個檔案。”他估計，在每天 10 萬名訪問者中，只有 10 人可能會引起黑客的興趣。“一旦他們鎖定某個人，黑客就會改變網站的外觀。”例如，突然彈出一個谷歌登錄窗口。黑客就是這樣獲得了這些人的登錄數據，從而以他們的名義閱讀和發送電子郵件。

多年后，從他們發出的電子郵件可見，“海蓮”的黑客仍在針對 Vu Quoc Dung，這顯然是一起網絡間諜案。“我們將電子郵件的文本從越南語翻譯成德語，并詳細解釋了為什么我們提起刑事指控。”Vu Quoc Dung 說。但當 BR 和《時代周報》聯系到他時，負責的警察當局回信說，這個案子最后是在詐騙部門處理的。顯然曾試圖通過電話以及電子郵件聯系 Vu。然而，BR 和《時代周報》能夠發現，他們錯給黑客的地址發送了電子郵件。在記者提出要求后，邀請 Vu 再次接受筆錄。

“否決”網站正試圖在此期間保護自己，即使很可能徒勞無功，Vu 解釋說：“我不認為我們作為一個小組織，有可能抵御一群也許得到了國家支持的黑客。”在 Vu 看來，德國政府才是罪魁禍首。“我們希望人權團體成為攻擊目標時，國家或警察可以盡力保護它們。”

埃朗根-紐倫堡大學國際刑法和國際法教授 Christoph Safferling 和 Vu 持有相同的看法。他說，保護這些人是聯邦政府的任務，是憲法規定的義務。“如果我們想在德國進行公正的合作，就不能允許外國特務機構監視流亡者。”他還說，人們必須意識到問題的嚴重性：“這些人不是偶然來到這里的外國人，他們是我們社會的一部分，必須能夠在這里和平、自由地生活。”

“海蓮”的黑客們恰恰要阻止他們自由自在的生活，這也是他們名字的含義。2011 年，他們在開始活動時就給自己起了一個越南名字：Sinh Tu Lenh，暗喻著掌控生死。這個名字出自金庸小說中出現的“生死符”，而在越南，金庸武俠小說和電影很受歡迎。

使用這一符咒的人都能讓別人受制于他。受害者會遭受到極度的痛苦，而且在服從符咒主人后才能得到緩解。惡意軟件就是“海蓮”的生死符。黑客們就像小說人物一樣，控制著受害者，或者說，控制著越南政權抨擊者的鍵盤、屏幕、文件，直到他們乖乖就范。

END

作者：

Hakan Tanriverdi, Max Zierer, Ann-Kathrin Wetter (BR), Kai Biermann, Thi Do Nguyen (Zeit Online）

Tags：OINCOICOINHANELON CAT COINQuasarcoinHuobi Bitcoin CashRocketX exchange

FTT