問:之前的翻牆問答節目中曾談及,中國當局透過控制電訊公司,可以作出相當多入侵行為。最近一份由包括台灣Team T5、日本伊藤忠商事及有俄羅斯背景的網絡安全實驗室卡巴斯基聯合發表的報告,指有中國當局支持的黑客透過電訊公司網絡進行WinDealer攻擊,令受害者在不知情下接收到有病毒的檔案。不知是怎樣一回事?
李建軍:獲中國當局支持的黑客集團蠃魚發展出一套手法,只要他們可以佔據電訊公司網絡流量關鍵位置,例如DNS,就可以快人一步攔截特定類型的通訊,然後引導受害者下載有病毒的檔案。這次撰寫報告的三個機構提供的例子,就是2020年的案例,蠃魚集團可以引導PPTV自動更新的用家,轉到他們的主機下載有毒更新檔,你以為自動更新一個安全檔案,怎知下載卻是一個含有WinDealer病毒的檔案,有木馬植入也不知。整個過程,除非你本身是網絡專家,並有在執行監測網絡流量數據的程式,否則你不會知道你已經受害。而暫時,亦未有技術可以向網絡用家提出警示,讓他知道自己已經被電訊公司出賣了。
問:由這個角度來看,西方國家政府基於國家安全考慮,對中國通訊商乃至電子設備製造商華為以及中興通訊等保持謹慎態度,也是相當之合理。
李建軍:這層當然。中國近年頻頻透過國企收購外國關鍵企業,但此做法畢竟不是萬試萬寧。在涉及到通訊企業的收購時,中國未必可以用龐大資金,或繞過西方國家的法規達成交易。那麼,向西方國家電訊公司提供大量廉價的通訊基建器材,然後再暗中擺後門,讓第三方發動入侵攻擊,這種做法就更加實惠,本小利大。
具體我們可以看到,中國透過政府補貼,出口大量廉價電訊器材,令西方國家電訊公司基建網絡關鍵部分都是華為和中興的設備。因此,西方國家這幾年都立法要將華為設備移出電訊網絡,不單涵蓋5G,連現有4G、3G和2G網絡都要移出。
問:中國的電訊公司是由政府控制,而香港的電訊公司,近年都大量採購華為和中興的器材。那麼對於一般網絡用戶,特別是中國和香港的網絡用戶,又如何防止這種攻擊?
李建軍:這點正正印證VPN翻牆的重要性,因為VPN基本上是一個已經加密了的隧道,除非中國當局發展更強的系統,可以實時破解VPN的通訊內容,否則WinDealer是不夠快去攔截通訊內容,再引導到錯誤的地方。換言之,在進行自動更新一類動作時,最好都用VPN翻牆。
在此要特別提醒,香港網絡用戶其實有必要更加留神這類攻擊,因為香港的電訊網絡尚未完全整合到中國公安部門的系統,香港也未正式作出大規模網禁,這就導致中國當局更需要依賴這種黑客手段去監察香港市民的網絡動向,這就是他們大規模播毒的誘因。翻牆下載更新檔雖然速度比較慢,但至少避免了中國當局借自動更新來播毒的作為。
如果你在西方國家,由於西方國家對華為和中興的禁令要至少去到2027年才能全面發揮作用,因此,在現階段,如果你發現一些網絡不尋常舉動,最好主動通知電訊公司;又或者,若電訊公司向你提供的路由器是華為或中興的產品,你最好要求電訊公司更換有關器材;而如果你本身準備購買電訊公司的設備,最好先向電訊公司了解產品詳情,以增高安全係數。
當然,使用VPN時你都要留意VPN公司的背景,如果VPN公司背景不明,甚至有中資資金,基本上都不會見得是安全的選項,而如果VPN公司所使用的器材架構,都涉及中興、華為的系統,其實都是同等危險。在中國當局的入侵手段日益狡猾的情況下,VPN公司背景以及系統基建的透明度,其實是十分之重要。