国外间谍软件发展应用情况浅析
随着通信技术的飞速发展,传统的合法监听技术已经不能满足获取目标通信信息的需求,因此推动了间谍软件越来越广泛的应用。间谍软件可以实现诸多目的:窃取设备流量与内容,记录键盘敲击情况,监控上网记录,监控上传及下载内容,接管麦克风或摄像头,冒充身份发送虚假信息等。与此同时,间谍软件既可以通过USB接口直接植入目标设备,也可以通过钓鱼网站、电子邮件、互联网广告、社交媒体或社会工程学远程植入目标设备。本文从国外典型间谍软件及其应用、国外间谍软件有关法律、美国情报机构使用的间谍软件等方面进行了相关研究。
一、国外典型间谍软件及其应用
目前,美国、以色列、俄罗斯、德国等发达国家的诸多公司均推出了间谍软件,间谍软件被世界某些情报、执法机构广泛应用。近年来,一些国外间谍软件公司,如德国FinFisher公司、意大利黑客团队公司的间谍软件的应用情况不断被曝光,引发了世人的高度关注。
早在2013年,加拿大多伦多大学公民实验室发布报告称,FinFisher软件的指令和控制服务器在澳大利亚、巴林、孟加拉、文莱、加拿大、捷克、爱沙尼亚、埃塞俄比亚、德国、印度、印度尼西亚、日本、拉脱维亚、马来西亚、墨西哥、蒙古、荷兰、卡塔尔、塞尔维亚、新加坡、土库曼斯坦、阿联酋、英国、美国、越南25个国家均得以被发现。
2015年7月6日,意大利黑客团队公司的400GB内部文件被匿名黑客上传至互联网,引发业内一片哗然。文件显示,黑客团队公司向全球36个国家和地区出售间谍软件。例如,在一些看起来像是客户名单的文件中,发现了阿塞拜疆、巴林、埃及、埃塞俄比亚、哈萨克斯坦、摩洛哥、尼日利亚、阿曼、沙特阿拉伯、苏丹等国家,以及美国缉毒署、联邦调查局和国防部等机构;在一些看起来像是购买合同的文件中,披露了黑客团队公司分别向埃塞俄比亚、苏丹的情报机构开具的价值100万美元和48万美元的间谍软件发票。
二、国外间谍软件有关法律
国外与间谍软件有关的法律较少,目前已知德国和意大利分别立法进行了规制。德国《联邦刑事警察法》规定,执法机构在掌握具体侦查线索的前提下,可以向犯罪嫌疑人的计算机发送间谍软件,以监控犯罪嫌疑人的电子邮件,监听犯罪嫌疑人网络电话通话的内容,阅读嫌疑人在网络聊天室的聊天记录等。意大利《刑事诉讼法细则》第226条规定了一种特殊的监听方式情报预警监听,执法机构在实施此种监听时,可利用间谍软件,但其获得的全部资料均不得用于刑事诉讼。与此同时,《刑事诉讼法细则》对情报预警监听的申请与审批、适用的犯罪类别等进行了详细规定。
此外,在间谍软件的国际贸易规制方面,2012年以前,一些欧洲国家基于欧盟两用物品控制目录中的“类别5A002(密码学)”来控制间谍软件的出口。例如,2012年,英国政府开始对英国伽马国际公司间谍软件的出口进行管制。目前,间谍软件的出口由修订后的欧盟出口管制政策和《瓦森纳协定》管制。
三、美国情报机构使用的间谍软件
自斯诺登事件发生以来,有关美国国家安全局、中央情报局、联邦调查局等情报机构使用间谍软件的情况逐渐得到披露。美国情报机构一方面使用国外公司研发的间谍软件(如联邦调查局被曝采购意大利黑客团队公司间谍软件),另一方面还使用自主开发的间谍软件。
1.美国国家安全局使用的间谍软件
2013年12月30日,德国《明镜》周刊披露了一份长达50页的ANT产品文件,该文件披露了一个名为ANT的秘密组织为美国国家安全局下属的“获取特定情报行动办公室”(TAO)提供的48种秘密监控技术产品。在这些产品中,可以看出国家安全局所使用的一些间谍软件,如“源头”(HEADWATER)和“退学吉普”(DROPPUTJEEP)。
“源头”是为某公司的路由器而设置的间谍软件的统称,美国国家安全局/中央情报局已经在其合作项目中采用间谍软件对其网络设备进行入侵。“源头”的间谍软件植入器可通过远程运作中心人员操作,利用互联网远程转移到特定目标路由器。当转移过程结束时,间谍软件将通过一个升级指令而植入路由器的引导ROM当中。在系统重新启动时,间谍软件就被激活。一旦被激活,远程运作中心人员就能在间谍软件捕捉和检查通过路由器的所有IP包时,对间谍软件进行控制。
“退学吉普”是植入苹果手机的间谍软件,可提供专门的信号情报收集功能。这些功能包括远程向设备推送文件或取出设备中的文件,以及检索短信、检索联系人列表、获取语言邮件、获取地理位置、控制麦克风、控制摄像头等。控制命令和数据传输可以通过短信或者GPRS数据连接进行,所有这些通信将被隐藏和加密。
2.美国中央情报局使用的间谍软件
2017年3月7日,维基解密(Wiki Leaks)曝光了美国中央情报局代号为“Vault7”的文件,披露了该局从2013年至2016年的大量机密文件以及大批有分量的间谍软件,包括“哭泣天使”(Weeping Angel)、DerStarke和RickyBobby等。
“哭泣天使”是针对三星智能电视的木马植入工具组件。该窃听软件感染智能电视后,会劫持电视的关机操作,保持程序的后台运行,让用户误以为已经关机了,之后它会启动麦克风,开启录音功能,然后将录音内容回传至中央情报局的后台服务器。
DerStarke针对苹果OSX系统的启动驱动级(Boot-level)的rookit植入木马。
RickyBobby以电影《塔拉德加之夜》中的角色RickyBobby命名,是包含多种DLL攻击文件和执行脚本的一款间谍软件,可以实现对目标系统的端口监听、上传和下载,以及命令执行等功能。
3.美国联邦调查局使用的间谍软件
近年来,美国新闻媒体也多次披露了美国联邦调查局使用的间谍软件,包括“幻灯”“互联网通信协议地址校验器”(CIPAV)等。
“幻灯”是美国联邦调查局研发的“击键记录”软件,它可以通过邮件附件或利用操作系统漏洞进行远程安装。联邦调查局使用“幻灯”时,可以通过嫌疑人所信任的人的名义发送给他,也能通过常见的系统漏洞潜入系统。“幻灯”会自动安装在他人的计算机上。当嫌疑人使用电子邮件时,程序就会被激活。此时,“幻灯”会记录计算机的击键情况,并将收集到的加密信息发回联邦调查局,这样联邦调查局人员就可以解密嫌疑人的通信内容。
“互联网通信协议地址校验器”可以安装在嫌疑人计算机上,用以监控嫌疑人的计算机活动。
此外,2015年7月6日意大利黑客团队公司的被泄露文件显示,联邦调查局也购买了该公司的间谍软件。
(原载于《保密科学技术》杂志2018年10月刊)
评论