隨著通信技術(shù)的飛速發(fā)展,傳統(tǒng)的合法監(jiān)聽(tīng)技術(shù)已經(jīng)不能滿(mǎn)足獲取目標(biāo)通信信息的需求,因此推動(dòng)了間諜軟件越來(lái)越廣泛的應(yīng)用。間諜軟件可以實(shí)現(xiàn)諸多目的:竊取設(shè)備流量與內(nèi)容,記錄鍵盤(pán)敲擊情況,監(jiān)控上網(wǎng)記錄,監(jiān)控上傳及下載內(nèi)容,接管麥克風(fēng)或攝像頭,冒充身份發(fā)送虛假信息等。與此同時(shí),間諜軟件既可以通過(guò)USB接口直接植入目標(biāo)設(shè)備,也可以通過(guò)釣魚(yú)網(wǎng)站、電子郵件、互聯(lián)網(wǎng)廣告、社交媒體或社會(huì)工程學(xué)遠(yuǎn)程植入目標(biāo)設(shè)備。本文從國(guó)外典型間諜軟件及其應(yīng)用、國(guó)外間諜軟件有關(guān)法律、美國(guó)情報(bào)機(jī)構(gòu)使用的間諜軟件等方面進(jìn)行了相關(guān)研究。
一、國(guó)外典型間諜軟件及其應(yīng)用
目前,美國(guó)、以色列、俄羅斯、德國(guó)等發(fā)達(dá)國(guó)家的諸多公司均推出了間諜軟件,間諜軟件被世界某些情報(bào)、執(zhí)法機(jī)構(gòu)廣泛應(yīng)用。近年來(lái),一些國(guó)外間諜軟件公司,如德國(guó)FinFisher公司、意大利黑客團(tuán)隊(duì)公司的間諜軟件的應(yīng)用情況不斷被曝光,引發(fā)了世人的高度關(guān)注。
早在2013年,加拿大多倫多大學(xué)公民實(shí)驗(yàn)室發(fā)布報(bào)告稱(chēng),F(xiàn)inFisher軟件的指令和控制服務(wù)器在澳大利亞、巴林、孟加拉、文萊、加拿大、捷克、愛(ài)沙尼亞、埃塞俄比亞、德國(guó)、印度、印度尼西亞、日本、拉脫維亞、馬來(lái)西亞、墨西哥、蒙古、荷蘭、卡塔爾、塞爾維亞、新加坡、土庫(kù)曼斯坦、阿聯(lián)酋、英國(guó)、美國(guó)、越南25個(gè)國(guó)家均得以被發(fā)現(xiàn)。
2015年7月6日,意大利黑客團(tuán)隊(duì)公司的400GB內(nèi)部文件被匿名黑客上傳至互聯(lián)網(wǎng),引發(fā)業(yè)內(nèi)一片嘩然。文件顯示,黑客團(tuán)隊(duì)公司向全球36個(gè)國(guó)家和地區(qū)出售間諜軟件。例如,在一些看起來(lái)像是客戶(hù)名單的文件中,發(fā)現(xiàn)了阿塞拜疆、巴林、埃及、埃塞俄比亞、哈薩克斯坦、摩洛哥、尼日利亞、阿曼、沙特阿拉伯、蘇丹等國(guó)家,以及美國(guó)緝毒署、聯(lián)邦調(diào)查局和國(guó)防部等機(jī)構(gòu);在一些看起來(lái)像是購(gòu)買(mǎi)合同的文件中,披露了黑客團(tuán)隊(duì)公司分別向埃塞俄比亞、蘇丹的情報(bào)機(jī)構(gòu)開(kāi)具的價(jià)值100萬(wàn)美元和48萬(wàn)美元的間諜軟件發(fā)票。
二、國(guó)外間諜軟件有關(guān)法律
國(guó)外與間諜軟件有關(guān)的法律較少,目前已知德國(guó)和意大利分別立法進(jìn)行了規(guī)制。德國(guó)《聯(lián)邦刑事警察法》規(guī)定,執(zhí)法機(jī)構(gòu)在掌握具體偵查線索的前提下,可以向犯罪嫌疑人的計(jì)算機(jī)發(fā)送間諜軟件,以監(jiān)控犯罪嫌疑人的電子郵件,監(jiān)聽(tīng)犯罪嫌疑人網(wǎng)絡(luò)電話通話的內(nèi)容,閱讀嫌疑人在網(wǎng)絡(luò)聊天室的聊天記錄等。意大利《刑事訴訟法細(xì)則》第226條規(guī)定了一種特殊的監(jiān)聽(tīng)方式情報(bào)預(yù)警監(jiān)聽(tīng),執(zhí)法機(jī)構(gòu)在實(shí)施此種監(jiān)聽(tīng)時(shí),可利用間諜軟件,但其獲得的全部資料均不得用于刑事訴訟。與此同時(shí),《刑事訴訟法細(xì)則》對(duì)情報(bào)預(yù)警監(jiān)聽(tīng)的申請(qǐng)與審批、適用的犯罪類(lèi)別等進(jìn)行了詳細(xì)規(guī)定。
此外,在間諜軟件的國(guó)際貿(mào)易規(guī)制方面,2012年以前,一些歐洲國(guó)家基于歐盟兩用物品控制目錄中的“類(lèi)別5A002(密碼學(xué))”來(lái)控制間諜軟件的出口。例如,2012年,英國(guó)政府開(kāi)始對(duì)英國(guó)伽馬國(guó)際公司間諜軟件的出口進(jìn)行管制。目前,間諜軟件的出口由修訂后的歐盟出口管制政策和《瓦森納協(xié)定》管制。
三、美國(guó)情報(bào)機(jī)構(gòu)使用的間諜軟件
自斯諾登事件發(fā)生以來(lái),有關(guān)美國(guó)國(guó)家安全局、中央情報(bào)局、聯(lián)邦調(diào)查局等情報(bào)機(jī)構(gòu)使用間諜軟件的情況逐漸得到披露。美國(guó)情報(bào)機(jī)構(gòu)一方面使用國(guó)外公司研發(fā)的間諜軟件(如聯(lián)邦調(diào)查局被曝采購(gòu)意大利黑客團(tuán)隊(duì)公司間諜軟件),另一方面還使用自主開(kāi)發(fā)的間諜軟件。
1.美國(guó)國(guó)家安全局使用的間諜軟件
2013年12月30日,德國(guó)《明鏡》周刊披露了一份長(zhǎng)達(dá)50頁(yè)的ANT產(chǎn)品文件,該文件披露了一個(gè)名為ANT的秘密組織為美國(guó)國(guó)家安全局下屬的“獲取特定情報(bào)行動(dòng)辦公室”(TAO)提供的48種秘密監(jiān)控技術(shù)產(chǎn)品。在這些產(chǎn)品中,可以看出國(guó)家安全局所使用的一些間諜軟件,如“源頭”(HEADWATER)和“退學(xué)吉普”(DROPPUTJEEP)。
“源頭”是為某公司的路由器而設(shè)置的間諜軟件的統(tǒng)稱(chēng),美國(guó)國(guó)家安全局/中央情報(bào)局已經(jīng)在其合作項(xiàng)目中采用間諜軟件對(duì)其網(wǎng)絡(luò)設(shè)備進(jìn)行入侵。“源頭”的間諜軟件植入器可通過(guò)遠(yuǎn)程運(yùn)作中心人員操作,利用互聯(lián)網(wǎng)遠(yuǎn)程轉(zhuǎn)移到特定目標(biāo)路由器。當(dāng)轉(zhuǎn)移過(guò)程結(jié)束時(shí),間諜軟件將通過(guò)一個(gè)升級(jí)指令而植入路由器的引導(dǎo)ROM當(dāng)中。在系統(tǒng)重新啟動(dòng)時(shí),間諜軟件就被激活。一旦被激活,遠(yuǎn)程運(yùn)作中心人員就能在間諜軟件捕捉和檢查通過(guò)路由器的所有IP包時(shí),對(duì)間諜軟件進(jìn)行控制。
“退學(xué)吉普”是植入蘋(píng)果手機(jī)的間諜軟件,可提供專(zhuān)門(mén)的信號(hào)情報(bào)收集功能。這些功能包括遠(yuǎn)程向設(shè)備推送文件或取出設(shè)備中的文件,以及檢索短信、檢索聯(lián)系人列表、獲取語(yǔ)言郵件、獲取地理位置、控制麥克風(fēng)、控制攝像頭等?刂泼詈蛿(shù)據(jù)傳輸可以通過(guò)短信或者GPRS數(shù)據(jù)連接進(jìn)行,所有這些通信將被隱藏和加密。
2.美國(guó)中央情報(bào)局使用的間諜軟件
2017年3月7日,維基解密(Wiki Leaks)曝光了美國(guó)中央情報(bào)局代號(hào)為“Vault7”的文件,披露了該局從2013年至2016年的大量機(jī)密文件以及大批有分量的間諜軟件,包括“哭泣天使”(Weeping Angel)、DerStarke和RickyBobby等。
“哭泣天使”是針對(duì)三星智能電視的木馬植入工具組件。該竊聽(tīng)軟件感染智能電視后,會(huì)劫持電視的關(guān)機(jī)操作,保持程序的后臺(tái)運(yùn)行,讓用戶(hù)誤以為已經(jīng)關(guān)機(jī)了,之后它會(huì)啟動(dòng)麥克風(fēng),開(kāi)啟錄音功能,然后將錄音內(nèi)容回傳至中央情報(bào)局的后臺(tái)服務(wù)器。
DerStarke針對(duì)蘋(píng)果OSX系統(tǒng)的啟動(dòng)驅(qū)動(dòng)級(jí)(Boot-level)的rookit植入木馬。
RickyBobby以電影《塔拉德加之夜》中的角色RickyBobby命名,是包含多種DLL攻擊文件和執(zhí)行腳本的一款間諜軟件,可以實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的端口監(jiān)聽(tīng)、上傳和下載,以及命令執(zhí)行等功能。
3.美國(guó)聯(lián)邦調(diào)查局使用的間諜軟件
近年來(lái),美國(guó)新聞媒體也多次披露了美國(guó)聯(lián)邦調(diào)查局使用的間諜軟件,包括“幻燈”“互聯(lián)網(wǎng)通信協(xié)議地址校驗(yàn)器”(CIPAV)等。
“幻燈”是美國(guó)聯(lián)邦調(diào)查局研發(fā)的“擊鍵記錄”軟件,它可以通過(guò)郵件附件或利用操作系統(tǒng)漏洞進(jìn)行遠(yuǎn)程安裝。聯(lián)邦調(diào)查局使用“幻燈”時(shí),可以通過(guò)嫌疑人所信任的人的名義發(fā)送給他,也能通過(guò)常見(jiàn)的系統(tǒng)漏洞潛入系統(tǒng)!盎脽簟睍(huì)自動(dòng)安裝在他人的計(jì)算機(jī)上。當(dāng)嫌疑人使用電子郵件時(shí),程序就會(huì)被激活。此時(shí),“幻燈”會(huì)記錄計(jì)算機(jī)的擊鍵情況,并將收集到的加密信息發(fā)回聯(lián)邦調(diào)查局,這樣聯(lián)邦調(diào)查局人員就可以解密嫌疑人的通信內(nèi)容。
“互聯(lián)網(wǎng)通信協(xié)議地址校驗(yàn)器”可以安裝在嫌疑人計(jì)算機(jī)上,用以監(jiān)控嫌疑人的計(jì)算機(jī)活動(dòng)。
此外,2015年7月6日意大利黑客團(tuán)隊(duì)公司的被泄露文件顯示,聯(lián)邦調(diào)查局也購(gòu)買(mǎi)了該公司的間諜軟件。
(原載于《保密科學(xué)技術(shù)》雜志2018年10月刊)