臭名昭著的「飛馬」(Pegasus)間諜軟體,只要透過簡訊發送,就可以悄無聲息地侵入手機,不需要使用者點擊,使用者也不會知道,在使用者手機中潛伏數日或數周,即時竊取資訊,包括訊息、照片、加密聊天內容、影片和音訊。被竊取的資料最終流向何處往往是個謎,隱藏在伺服器網路的迷宮中。然而,「飛馬」和其他網路武器的致命影響是被西班牙、沙烏地阿拉伯等國政府用於針對人權捍衛者、記者、律師等人的攻擊,這些都有充分的證明了。一系列審查和制裁措施有助於揭露了這些工具背後隱秘、半合法的行業,並對製造「飛馬」的以色列 NSO 集團等公司造成財務壓力。
然而儘管實施了新的限制,這些生意仍然蓬勃發展。Google和Meta本月發表的新研究表明,網路攻擊市場仍在增長,而且變得更加危險,助長政府暴力和鎮壓,侵蝕全球民主。
Google威脅分析小組 (TAG) 的研究員麥迪·史東(Maddie Stone)說:「該行業正在蓬勃發展。越來越多的公司不斷出現,它們的政府客戶決心向他們購買這些功能,並正在使用它們。」 史東專門研究零日漏洞,這些軟體漏洞尚未修復,對間諜軟體賣家來說可能價值數億美金。
暗黑產業猖獗,科技巨頭發聲,政府施壓監控
根據 Google史東團隊本月發表的報告,針對Google和Android產品的已知零日漏洞中,首次有一半來自私人公司。研究人員表示,除了 NSO 和 Candiru 等知名公司之外,他們還在追蹤約 40 家參與創建針對「高風險個人」的駭客工具的公司。
在 2014 年至去年間,Google發現的 72 個零日漏洞中,有 35 個歸因於這些和其他行業參與者,而非國家所支持的。
報告寫道,「如果政府曾經壟斷過最先進的能力,那麼那個時代一定已經結束了。」
Google的調查結果和 Meta一周後發表的針對間諜軟體的威脅報告,大型科技公司對一個從破壞其系統中獲利的行業採取了越來越嚴厲的態度。這些報告也給美國和其他國家施加了新的壓力,要求對這個基本上不受監管的行業採取行動。
自 2021 年以來,拜登政府將多家間諜軟體公司列入黑名單,禁止向這些公司轉讓任何美國技術,並於本月開始對間諜軟體背後的相關人員採取更強硬的立場。在Google發表報告前一天,美國國務院宣佈對「參與濫用商業間諜軟體」的人及其家人實施新的簽證限制,進一步限制了間諜軟體製造商接觸美國關鍵科技行業的管道。美國國務卿安東尼·布林肯在一份聲明中表示,間諜軟體「威脅隱私和言論自由、和平集會和結社自由」,並且「在最惡劣的情況下,與任意拘留、強迫失蹤和非法處決有關。」
儘管引起了強烈反對和制裁,零日研究人員將打擊間諜軟體描述為一場全球性的「打地鼠」遊戲。就像一個意志堅定的駭客一樣,這些「地鼠」準備竭盡所能生存下去。公司越來越多地在以色列以外的國家設立或遷移,在那裡它們不受相同的出口管制約束。
公民實驗室的約翰·史考特·雷爾頓去年在國會聽證會上說:「如果 NSO 集團明天破產,也會有其他公司試圖填補這個空白,而且很有可能是美國投資者支持的。」 「只要美國投資者將傭兵間諜軟體行業視為一個增長市場,美國金融業就準備加速這個問題,並為我們的集體網路安全和隱私添油加火。」
Google TAG 的高級總監夏恩·亨特利(Shane Huntley)在一篇部落格文章中提到了一些政府協定,目的在限制間諜軟體的危害,但他補充說,「我們希望看到這些第一步得到更廣泛的國家採取更具體的行動,以改革該行業,並進一步揭露濫用行為。」
Meta 上周除了發表自己的威脅報告之外,還建議歐洲監管機構更加嚴格地執行其隱私法律,並呼籲全球各國政府通過要求間諜軟體供應商保留其客戶資訊並審計其客戶如何使用該技術,幫助查明究竟是誰在為這些服務買單。
間諜軟體猖獗,受害者包括政客、記者、人權捍衛者
Meta 全球威脅破壞總監大衛·阿格拉諾維奇(David Agranovich)告訴記者:「歐盟數據保護機構現在可以通過要求間諜軟體公司遵守現有數據保護法規,對在歐洲營運的間諜軟體公司進行特殊的管理。」
網路傭兵和情報官員指出,這些武器可用於執法和反恐,數十個國家秘密使用駭客工具追蹤和抓捕罪犯和恐怖份子嫌疑人,包括臭名昭著的毒梟 El Chapo。但大量研究和報導表明,這些工具往往被用於針對記者、人權捍衛者和反對派人物,有時是作為殘酷鎮壓的一部分。
研究人員估計,多達 46 個國家(包括西班牙、印度和沙烏地阿拉伯)的政府機構以某種形式使用了飛馬間諜軟體。2020 年記者獲得的一份 NSO 客戶「選擇為目標」的五萬個電話號碼列表中,至少包括三位總統、十位總理和一位國王,以及「幾位阿拉伯王室成員、至少 65 位商業高階管理、85 位人權活動人士、189 位記者和 600 多位政治家和政府官員——包括內閣部長、外交官以及軍事和安全官員。」(由法國媒體非營利組織 Forbidden Stories 領導的記者聯盟飛馬專案證實了這份名單上幾十部手機的的確遭到感染。) 飛馬間諜軟體已經在印度、約旦、亞美尼亞、多明尼加共和國的記者手機上被發現;至少六名巴勒斯坦人權捍衛者,其中一人也是美國公民;以及被謀殺的沙烏地阿拉伯異議人士賈邁勒·卡舒吉(Jamal Khassoghi)最親近的兩名女性。倫敦大學人權研究小組法醫建築學在 2021 年的一項分析估計,間諜軟體至少參與了 300 起肢體暴力事件。
史東說:「危害並非只是假設。」
Google在其報告中描述了數十家可疑公司提供的「即用型間諜解決方案」的興起。雖然像 NSO 和 Candiru 這樣的以色列網路攻擊公司受到了最多的審查,但Google的分析強調了總部位於歐洲和亞洲的小型間諜軟體公司正在崛起。這包括卡內基基金會去年所所稱的二軍「精品間諜軟體公司、夜間駭客行動、漏洞經紀人和類似組織」。Google選擇在其報告中命名 11 家公司和 9 家附屬公司,這些公司都曾在之前的報告中出現過;史東和一位發言人沒有具體說明為什麼其他公司沒有被披露。
間諜軟體公司只占全球駭客出租行業的一小部分。(本周來自上海網路安全供應商 I-Soon 的洩密事件表明,它在 2021 年和 2022 年對一系列高價值政府目標和持不同政見者進行了全球攻擊,部分是透過入侵 WiFi 網路和裝置。)一些間諜軟體公司沒有網站,隱藏在複雜的公司結構下以隱瞞其所有者、投資者和客戶。Google指出,總部位於特拉維夫的 Candiru 曾多次更名,先為 Grindavik,然後是 Taveta,最後是 Saito Tech。另一家被Google點名的維也納公司 DSRIF 於 2023 年 8 月停止營運,但其附屬公司機器學習解決方案 (MLS) 據報導仍在繼續其部分工作。這些公司沒有回應任何的評論,有些公司甚至聯絡不到。
暗黑名單曝光!Google點名10家間諜軟體公司
Google在報告中點名了數間涉嫌開發及銷售間諜軟體的公司,這些公司侵犯人權,危害全球公民隱私和安全。以下為部分主要公司介紹:
- Candiru: 成立於 2014 年,被認為是以色列第二大間諜軟體製造商,僅次於 NSO。其系統由多個國家使用,包括沙烏地阿拉伯、以色列、阿拉伯聯合大公國、匈牙利、印尼和烏茲別克等。2021 年 11 月,美國商務部將 Candiru 和 NSO 列入貿易黑名單。
- Cy4Gate: 成立於 2014 年,專注於「合法攔截」技術,包括針對 Android 和 iOS 系統的 Epeius 間諜軟體。2022 年,Cy4Gate 收購了義大利公司 RCS Lab,以其「Hermit」間諜軟體工具聞名。Google和 Meta 已觀察到RCS Lab在義大利、哈薩克、亞塞拜然和蒙古的活動。
- Intellexa Alliance: 充當各種監控公司的樞紐,包括 Cytrox(開發了類似 Pegasus 的工具 Predator)、Wi-Fi 和行動攔截公司 WiSpear 以及專攻開源情報收集的 Senpai。2021 年 6 月,Intellexa 成員 Nexa Technologies 的四名高階主管因「共謀酷刑」被巴黎司法法院起訴,之前華爾街日報揭露該公司向利比亞政府出售監控軟體。2021 年,Meta 因濫用平臺禁止 Cytrox,2023 年,美國商務部將其列入黑名單。
- NSO Group: 總部位於以色列海爾茲利亞,2016 年因公民實驗室在阿拉伯聯合大公國人權捍衛者 Ahmed Mansoor 的手機上發現 Pegasus 而首次曝光。Pegasus 項目估計,全球數百名民間社會成員成為其間諜軟體的目標。許多 NSO 前員工創立或加入其他網路武器製造商。Pegasus 最初的技術總監在 Patternz 擔任同樣的職務,這是一家成立於 2019 年的新創公司,聲稱能夠利用數位廣告市場的資料追蹤個人。包括 Rayzone、Bsightful 和 Venntel 在內的其他監控公司也使用類似技術,利用隱私研究人員稱之為國家安全威脅的系統。
- Negg Group:義大利網路安全公司,開發 VBiss 和 Skygofree Android 惡意軟體,在2017年由卡巴斯基所發現。這些軟體可以透過點擊漏洞鏈或驅動器下載來感染行動裝置。Google在義大利、馬來西亞和哈薩克發現了它們的蹤跡。
- PARS Defense:是一間總部位於伊斯坦堡的網路安全公司,其網站稱,「幫助客戶解決移行世界中的取證挑戰。」它已與針對iOS的兩個最近的漏洞有關。
- QuaDream:2014 年由一群包括兩名前 NSO 員工創立,開發了間諜軟體 REIGN,可進行即時通話錄音、相機啟動等功能。根據一份宣傳手冊。2023年4月,Quadream突然關閉,據Haaretz報導,這是在以色列政府阻止其向包括摩洛哥在內的外國國家出口其工具後,以及在微軟和公民實驗室的研究人員報告REIGN被用來針對全球的記者、反對派人物和倡導組織後發生的。
- Variston Information Technology:2018 年在巴賽隆納成立,不久後收購了義大利公司 TrueL IT,該公司專注於零日漏洞。該公司與諷刺地命名的阿布扎比公司Protect Electronic Systems合作,打包並銷售其間諜軟軟體和基礎設施。2023年4月,貿易出版物Intelligence Online報導,Variston已與阿拉伯聯合大公國國有防務公司Edge Group的網絡子公司建立了更緊密的聯繫。
- Wintego Systems:由Verint的另一家以色列公司的離職員工創立,為政府和國土安全部門開發先進的通信、情報和數據解碼解決方案。根據公司手冊,其間諜軟體「使用Wi-Fi從網路帳號(雲端服務)和應用程式獲取安全數據,包括電子郵件、照片、文件、聊天、社交網路活動、聯絡人列表和日曆的全部內容。」
Meta 的威脅團隊最近也採取行動,針對來自西班牙、義大利和阿拉伯聯合大公國的 8 家間諜軟體公司的數十個帳戶。該公司在 2 月 14 日發表的季度威脅報告中點名了義大利公司 Cy4Gate、RCS Labs、Negg Group 和 IPS Intelligence;西班牙公司 Variston 及其子公司 TrueL IT,以及 Mollitiam Industries;和阿拉伯聯合大公國的 Protect Electronic Systems。Meta 表示,這些公司使用假帳號抓取資料、進行社交工程或測試其間諜軟體功能。
間諜軟體無孔不入!記者手機遭入侵
Google報告中最令人不安的部分之一是其智囊團 Jigsaw 的研究人員編寫的六名間諜軟體受害者的個人檔案。其中包括流亡的獨立俄羅斯新聞媒體 Meduza 的編輯蓋琳娜·蒂姆琴科(Galina Timchenko),她在 2022 年 6 月在家鄉拉脫維亞里加收到來自 Apple 的一條奇怪訊息。資訊稱她正被「國家贊助的攻擊者」盯上,「他們可能因為你的身份或你的工作而對你進行個人攻擊」。蒂姆琴科 已經習慣了多年的網路釣魚企圖和拒絕服務攻擊,她只是通知了她的技術團隊,然後就沒再在意。
然而,非營利組織 Access Now 和網路偵探 Citizen Lab 的調查很快發現,她的手機感染了 Pegasus。感染發生在幾個月前,就在 蒂姆琴科 參加流亡俄羅斯媒體機構在柏林召開的一次秘密會議討論克里姆林宮擴大其「外國代理人」法律的前一天。攻擊者利用針對 Apple 的 HomeKit 和 iMessage 的漏洞,可能在會議期間甚至幾周後都存取了她的裝置。敏感的通信、資料和消息來源都可能被洩露。蒂姆琴科完全不知道發生了什麼。
即使是單次隱秘的滲透——或者僅僅是這種威脅——都會帶來更廣泛的威脅。「當政治對手被攻擊和駭客入侵時,這會影響我們,因為這會讓人質疑自由和公平的選舉,」史東說,「當我們的記者成為被攻擊的目標並且害怕說出真話時,這影響我們所有人。」
是誰駭進了蒂姆琴科的手機?據 Access Now 的調查人員稱,哈薩克或亞塞拜然這兩個 Pegasus 潛在客戶可能應莫斯科的要求實施了攻擊。但據研究人員所知,這兩個國家之前從未在歐洲使用過 Pegasus,而蒂姆琴科在她的手機被攻擊時正在柏林。或者罪魁禍首可能是歐洲國家:德國、拉脫維亞和愛沙尼亞都是已知的 Pegasus 客戶。
美國機構也購買了 Pegasus和類似的間諜軟體。美國商務部將NSO和另一家以色列公司Candiru 列入黑名單幾個月後,紐約時報報導稱,聯邦調查局購買了 Pegasus 進行「測試」,並考慮過購買 NSO 之前向員警部門推銷的針對美國電話號碼的產品 Phantom。據《紐約時報》報導,中央情報局(CIA)也為吉布地共和國政府購買了 Pegasus,儘管該國長期存在人權方面的擔憂。
美國毒品執法管理局(DEA)還部署了一款類似Pegasus的產品Graphite來追捕販毒集團。製造商 Paragon 由以色列前總理埃胡德·巴瑞克(Ehud Barak)和至少一家美國風投公司 Battery Ventures 支持,該公司試圖避開醜聞,並於2021年聘請了實力雄厚的WestExec Advisors來幫助其進入美國市場。據金融時報報導,該公司甚至尋求指導,了解美國官員認為哪些其他政府客戶是可接受的。
NSO 也聘請了強大說客,包括美國國家安全局的前首席法律顧問,來改善其在華盛頓的形象。NSO 的首席法律顧問山謬·桑瑞(Shmuel Sunray)在去年 5 月寫給美國律師協會的一封信中警告了聯邦暫停商業間諜軟體的風險。桑瑞寫道:「雖然我們全力支持制定監管框架來管理商業情報技術的銷售和使用,但我們擔心暫停實施會使該行業由監管較少、監督較少、遵守人權尊重的動力較少的公司主導,包括來自俄羅斯和中國的公司。」
網路傭兵崛起,人權隱私成犧牲品
NSO 在其資訊傳播中也提到以巴衝突:據報導,在 10 月 7 日的攻擊之後,以色列安全部門開始引入 NSO、Candiru 和 Paragon 等公司,試圖追蹤加薩地帶的人質。
「NSO 的技術正在支援全球範圍內所有形式的反恐戰鬥,」一家公司的遊說人員在 11 月寫給國務卿布林肯的一封信中要求緊急會面時寫道。「這些努力與拜登-哈里斯政府對以色列政府的支援資訊和行動完全一致。」網路安全專家對人質追蹤的想法表示懷疑,一位美國官員告訴 Fast Company,美國政府「沒有計劃改變 NSO 集團在實體名單上的狀態」。
儘管政府實施了限制,網路傭兵業務的增長反映了地下共生關係。與假訊息業務一樣,間諜軟體行業往往依賴前政府駭客的人才和專業知識,而這些供應商為政府提供了可信的否認性。Google表示,這「將暴露這些工具成本和名譽風險的負擔從政府客戶轉移到供應商」,這「可能會增加這些工具被使用的可能性」。
以色列國產的網路攻擊行業被認為是世界上最好的,它不僅是政府官員的驕傲,也是現實政治的工具。與傳統武器銷售一樣,國家控制駭客工具的出口,而以色列經常利用 Pegasus 銷售在聯合國和其他國家之間爭取支持,或在反對伊朗的運動中。在 NSO 關閉沙烏地阿拉伯在卡舒吉被謀殺後使用 Pegasus 許可權之後,沙烏地阿拉伯王儲致電總理納坦雅胡,沙烏地阿拉伯的 Pegasus 許可權又被重新打開。(不久之後,Citizen Lab 的研究人員發現,沙烏地阿拉伯使用 Pegasus 侵入其競爭對手卡達新聞網路半島電視臺的 36 名記者的手機。)
以色列也限制使用 Pegasus,以免惹惱其他盟友,包括克里姆林宮。在俄羅斯入侵烏克蘭後,以色列阻止了向烏克蘭銷售 Pegasus,並關閉了愛沙尼亞使用其價值 3000 萬美元的 Pegasus 購買來針對俄羅斯手機的功能。
網路武器供應鏈的起點,通常是一位研究人員,他發現作業系統中未被發現的後門。他們透過揭露這個系統漏洞來賺取洞賞金,或者他們可以將他們的發現賣給像 NSO 這樣的漏洞供應商。在一個漏洞市場 Zerodium 上,一個珍貴的 Android 零日擊漏洞現在可以賣到 250 萬美元,比類似的 iOS 漏洞價格高出約 50 萬美元。由這些漏洞所製做的武器要客戶花費數百萬美元來購買,並且有精美可以自訂選項的操作介面。
關於濫用事件的廣泛報導促使Google和其他公司採取更積極的方法來應對強大的零日漏洞,與研究人員和記者一起揭露供應商並解釋他們的武器。蘋果從 2021 年開始向蒂莫琴科這樣疑似被攻擊的目標發送警告,並於去年推出了鎖定模式(Lockdown Mode),這是一個 iOS 和 macOS 選項功能,目的在阻止零日攻擊漏洞。2019 年,Meta 在該公司發現超過 1400 名 WhatsApp 使用者被NSO零日攻擊瞄準後起訴了NSO集團。蘋果於 2021 年 11 月提起訴訟,在起訴文件中將 NSO 描述為「21 世紀的無道德傭兵,他們創造了高度複雜的網路監控機制,引發了常規和猖獗的濫用」。(加州法官最近駁回了 NSO 的駁回動議。)
史東因大型科技公司對揭露其系統缺陷更加開放而讚揚它們。這保護了使用者並拉高了間諜軟體公司的成本,迫使它們「更多地回到繪圖板,投入更多時間研究漏洞」。
史東 說,與幾年前相比,「我們作為一個行業和防禦者,
與幾年前相比,史東說,「我們作為一個行業和防禦者,對於實際發生的事情和駭客實際在做什麼有了一個更清晰的面貌。」
多國聯合打擊網路武器濫用
美國也採取了一系列措施,針對某些公司和間諜軟體的使用。去年,商務部將 Cytrox 和 Intellexa 添加到其實體名單中,拜登總統發表了行政命令,禁止美國政府使用商業間諜軟體,特別是那種「對外國政府或外國個人濫用構成重大風險」的軟體。(總而言之,拜登政府表示,超過 50 名美國人員在三大洲成功地成為了海外間諜軟體的目標。)
本月又有更多進展。美國宣佈對間諜軟體製造商實施新的簽證限制後一天,由英國和法國領導的 35 個國家簽署了一項協議,「解決商業網路入侵工具和服務的擴散和不負責任的使用」。與間諜軟體濫用有關的匈牙利、墨西哥、西班牙和泰國等國的代表沒有簽署這項承諾;以色列也沒有參加。
本月,美國宣布了針對間諜軟體製造商實施新的簽證限制後一天,由英國和法國領導的35個國家簽署了一項協議,「解決商業網路入侵工具和服務的擴散和不負責任的使用」。與間諜軟體濫用有關的匈牙利、墨西哥、西班牙和泰國等國的代表沒有簽署這項承諾;以色列也沒有參加。
在制裁的懲罰下,以色列政府採取了收緊間諜軟體出口的措施,將允許客戶國家數量從 110 個減少到 37 個。這些限制使一些以色列間諜軟體公司陷入困境,並導致至少三家公司破產。NSO 本身也瀕臨破產邊緣,2022 年聯合創始人夏勒夫·胡里奧(Shalev Hulio)在一波離職潮後辭職。
儘管如此,NSO 仍在繼續開發其間諜軟體,擁有新的投資者並重新燃起獲利的希望。《華爾街日報》去年 5 月報導稱,NSO 的貸款人方,包括瑞士信貸和參議員投資集團向該公司提供了數百萬美元的貸款,並一直在與 NSO 聯合創始人歐姆瑞·拉維(Omri Lavie)合作。根據公司檔案,由 拉維控制的盧森堡控股公司現在被列為 NSO 母公司的唯一股東。據報導,拉維還接管了 NSO,解雇了多名董事和高級職員。
Google的一位發言人讚揚了美國的新簽證限制,該限制具體針對像拉維這樣的人。Google表示,還需要更強有力的行動,並呼籲各國政府,包括美國,披露他們自己使用這些工具的歷史。
Google表示:「只要對監控能力存在需求,就必然會刺激網路安全供應商繼續開發和銷售工具,進而使這個行業傷害高風險使用者和整個社會。」
資料來源:
加入電腦王Facebook粉絲團