TeamT5〈資訊戰白皮書三部曲：中國的社群操弄〉

在 TeamT5〈資訊戰白皮書〉的最後一部曲中，我們將呈現中國的資訊作戰（Information Operation）是如何瞄準全球社群媒體使用者。TeamT5 希望透過這系列白皮書，分享我們作為資安研究員，如何理解中國的社群操弄。

此份白皮書的前兩個章節，介紹中國檯面上與檯面下的行動。首先觀察中國在檯面上（overt operation）如何透過中國的官媒、大使館、外交官，在社群媒體創造自己的聲量。接著分析中國檯面下的行動（covert operation），進一步研究那些無法被輕易歸因的粉絲頁、內容農場與大量的僵屍帳號。最後一章將以 PTT 論壇上關於 Juiker 的假新聞攻擊為例，提出資訊戰當中，我們最擔心的 —— 由「進階持續性滲透威脅」（APT）發起的假新聞攻擊。

中國的官媒、外交官、大使館是中國檯面上的主要行動者。這些行動者負責美化中國外在形象，以及散播對中國執政黨有利的論述。根據我們的觀察，這些帳號在西方社群媒體中都擁有大量的追蹤者，Facebook 粉絲頁中，追蹤數排名世界前 20 名的新聞媒體，第一名到第四名就是由中國官媒粉絲頁 CGTN、China Daily、People's Daily、Xinhua News 包辦。中國檯面上的社群操弄，主要針對位在美國、加拿大、澳洲等英語系國家的海外華人，並透過他們對當地的政治進行一定影響。

2020 年，西方主流社群平台 Facebook、Twitter、Google 等，都曾數次移除各自平台上與中國有關的假帳號。儘管平台方已如此頻繁地掃蕩，許多隱匿的行動者仍然在各大平台上出沒，那些曾遭移除的帳號背後，有行動者持續透過註冊新網域和帳號捲土重來。我們不斷觀察到許多可疑帳號，例如許多擁有中國管理員的粉絲頁，會搬運微博上的政治宣傳。更有甚者，我們發現許多配備精良的攻擊者，會自己架設網站和疑似是自動化產生的僵屍帳號，來協助中國政府攻擊香港抗爭者。

我們擔心 APT 攻擊者很可能參與了社群媒體上的資訊戰。APT 通常是由一個國家所支持的駭客團體，以竊取機敏資料為主，APT 的攻擊者往往具備了強悍的網路攻擊手法與資源。然而，我們今年偵察到了一個可能是由 APT 攻擊者發動的假新聞攻擊。該事件發生在 2020 年七月，PTT 論壇八卦版上，開始有許多被盜用的帳號以假新聞攻擊台灣重要軍事單位，造謠台灣公務機關使用的 Juiker 通訊軟體遭駭，以及台灣重要軍事機關遭駭。我們透過搜索比對貼文與發文 IP，發現其中一個 IP 位址，符合某個中國 APT 曾經使用過的中繼站。

如同前述的分析脈絡，APT 與社群操弄的結合會讓防守方更加棘手。在棘手的防守環境中，唯有威脅情資（threat intelligence）可以提供即時的分析，評估攻擊者的攻擊手法、可疑的指標、以及造成的風險。而在快速更迭的社群媒體環境中，平台方與事實查核團體非常難找到證據，歸因大量散播的假新聞。我們認為唯有導入威脅情資，才能有效幫助政府單位、重要關鍵基礎設施與企業，對抗資訊戰。

若您對我們的白皮書有興趣，請填寫以下表單，取得完整的研究報告。

追蹤 TeamT5 Twitter，資安動態不漏接！