國(guó)外間諜軟件發(fā)展應(yīng)用情況淺析

隨著通信技術(shù)的飛速發(fā)展，傳統(tǒng)的合法監(jiān)聽(tīng)技術(shù)已經(jīng)不能滿足獲取目標(biāo)通信信息的需求，因此推動(dòng)了間諜軟件越來(lái)越廣泛的應(yīng)用。間諜軟件可以實(shí)現(xiàn)諸多目的：竊取設(shè)備流量與內(nèi)容，記錄鍵盤敲擊情況，監(jiān)控上網(wǎng)記錄，監(jiān)控上傳及下載內(nèi)容，接管麥克風(fēng)或攝像頭，冒充身份發(fā)送虛假信息等。與此同時(shí)，間諜軟件既可以通過(guò)USB接口直接植入目標(biāo)設(shè)備，也可以通過(guò)釣魚(yú)網(wǎng)站、電子郵件、互聯(lián)網(wǎng)廣告、社交媒體或社會(huì)工程學(xué)遠(yuǎn)程植入目標(biāo)設(shè)備。本文從國(guó)外典型間諜軟件及其應(yīng)用、國(guó)外間諜軟件有關(guān)法律、美國(guó)情報(bào)機(jī)構(gòu)使用的間諜軟件等方面進(jìn)行了相關(guān)研究。

一、國(guó)外典型間諜軟件及其應(yīng)用

目前，美國(guó)、以色列、俄羅斯、德國(guó)等發(fā)達(dá)國(guó)家的諸多公司均推出了間諜軟件，間諜軟件被世界某些情報(bào)、執(zhí)法機(jī)構(gòu)廣泛應(yīng)用。近年來(lái)，一些國(guó)外間諜軟件公司，如德國(guó)FinFisher公司、意大利黑客團(tuán)隊(duì)公司的間諜軟件的應(yīng)用情況不斷被曝光，引發(fā)了世人的高度關(guān)注。

早在2013年，加拿大多倫多大學(xué)公民實(shí)驗(yàn)室發(fā)布報(bào)告稱，F(xiàn)inFisher軟件的指令和控制服務(wù)器在澳大利亞、巴林、孟加拉、文萊、加拿大、捷克、愛(ài)沙尼亞、埃塞俄比亞、德國(guó)、印度、印度尼西亞、日本、拉脫維亞、馬來(lái)西亞、墨西哥、蒙古、荷蘭、卡塔爾、塞爾維亞、新加坡、土庫(kù)曼斯坦、阿聯(lián)酋、英國(guó)、美國(guó)、越南25個(gè)國(guó)家均得以被發(fā)現(xiàn)。

2015年7月6日，意大利黑客團(tuán)隊(duì)公司的400GB內(nèi)部文件被匿名黑客上傳至互聯(lián)網(wǎng)，引發(fā)業(yè)內(nèi)一片嘩然。文件顯示，黑客團(tuán)隊(duì)公司向全球36個(gè)國(guó)家和地區(qū)出售間諜軟件。例如，在一些看起來(lái)像是客戶名單的文件中，發(fā)現(xiàn)了阿塞拜疆、巴林、埃及、埃塞俄比亞、哈薩克斯坦、摩洛哥、尼日利亞、阿曼、沙特阿拉伯、蘇丹等國(guó)家，以及美國(guó)緝毒署、聯(lián)邦調(diào)查局和國(guó)防部等機(jī)構(gòu)；在一些看起來(lái)像是購(gòu)買合同的文件中，披露了黑客團(tuán)隊(duì)公司分別向埃塞俄比亞、蘇丹的情報(bào)機(jī)構(gòu)開(kāi)具的價(jià)值100萬(wàn)美元和48萬(wàn)美元的間諜軟件發(fā)票。

二、國(guó)外間諜軟件有關(guān)法律

國(guó)外與間諜軟件有關(guān)的法律較少，目前已知德國(guó)和意大利分別立法進(jìn)行了規(guī)制。德國(guó)《聯(lián)邦刑事警察法》規(guī)定，執(zhí)法機(jī)構(gòu)在掌握具體偵查線索的前提下，可以向犯罪嫌疑人的計(jì)算機(jī)發(fā)送間諜軟件，以監(jiān)控犯罪嫌疑人的電子郵件，監(jiān)聽(tīng)犯罪嫌疑人網(wǎng)絡(luò)電話通話的內(nèi)容，閱讀嫌疑人在網(wǎng)絡(luò)聊天室的聊天記錄等。意大利《刑事訴訟法細(xì)則》第226條規(guī)定了一種特殊的監(jiān)聽(tīng)方式情報(bào)預(yù)警監(jiān)聽(tīng)，執(zhí)法機(jī)構(gòu)在實(shí)施此種監(jiān)聽(tīng)時(shí)，可利用間諜軟件，但其獲得的全部資料均不得用于刑事訴訟。與此同時(shí)，《刑事訴訟法細(xì)則》對(duì)情報(bào)預(yù)警監(jiān)聽(tīng)的申請(qǐng)與審批、適用的犯罪類別等進(jìn)行了詳細(xì)規(guī)定。

此外，在間諜軟件的國(guó)際貿(mào)易規(guī)制方面，2012年以前，一些歐洲國(guó)家基于歐盟兩用物品控制目錄中的“類別5A002（密碼學(xué)）”來(lái)控制間諜軟件的出口。例如，2012年，英國(guó)政府開(kāi)始對(duì)英國(guó)伽馬國(guó)際公司間諜軟件的出口進(jìn)行管制。目前，間諜軟件的出口由修訂后的歐盟出口管制政策和《瓦森納協(xié)定》管制。

三、美國(guó)情報(bào)機(jī)構(gòu)使用的間諜軟件

自斯諾登事件發(fā)生以來(lái)，有關(guān)美國(guó)國(guó)家安全局、中央情報(bào)局、聯(lián)邦調(diào)查局等情報(bào)機(jī)構(gòu)使用間諜軟件的情況逐漸得到披露。美國(guó)情報(bào)機(jī)構(gòu)一方面使用國(guó)外公司研發(fā)的間諜軟件（如聯(lián)邦調(diào)查局被曝采購(gòu)意大利黑客團(tuán)隊(duì)公司間諜軟件），另一方面還使用自主開(kāi)發(fā)的間諜軟件。

1.美國(guó)國(guó)家安全局使用的間諜軟件

2013年12月30日，德國(guó)《明鏡》周刊披露了一份長(zhǎng)達(dá)50頁(yè)的ANT產(chǎn)品文件，該文件披露了一個(gè)名為ANT的秘密組織為美國(guó)國(guó)家安全局下屬的“獲取特定情報(bào)行動(dòng)辦公室”（TAO）提供的48種秘密監(jiān)控技術(shù)產(chǎn)品。在這些產(chǎn)品中，可以看出國(guó)家安全局所使用的一些間諜軟件，如“源頭”（HEADWATER）和“退學(xué)吉普”（DROPPUTJEEP）。

“源頭”是為某公司的路由器而設(shè)置的間諜軟件的統(tǒng)稱，美國(guó)國(guó)家安全局/中央情報(bào)局已經(jīng)在其合作項(xiàng)目中采用間諜軟件對(duì)其網(wǎng)絡(luò)設(shè)備進(jìn)行入侵�！霸搭^”的間諜軟件植入器可通過(guò)遠(yuǎn)程運(yùn)作中心人員操作，利用互聯(lián)網(wǎng)遠(yuǎn)程轉(zhuǎn)移到特定目標(biāo)路由器。當(dāng)轉(zhuǎn)移過(guò)程結(jié)束時(shí)，間諜軟件將通過(guò)一個(gè)升級(jí)指令而植入路由器的引導(dǎo)ROM當(dāng)中。在系統(tǒng)重新啟動(dòng)時(shí)，間諜軟件就被激活。一旦被激活，遠(yuǎn)程運(yùn)作中心人員就能在間諜軟件捕捉和檢查通過(guò)路由器的所有IP包時(shí)，對(duì)間諜軟件進(jìn)行控制。

“退學(xué)吉普”是植入蘋果手機(jī)的間諜軟件，可提供專門的信號(hào)情報(bào)收集功能。這些功能包括遠(yuǎn)程向設(shè)備推送文件或取出設(shè)備中的文件，以及檢索短信、檢索聯(lián)系人列表、獲取語(yǔ)言郵件、獲取地理位置、控制麥克風(fēng)、控制攝像頭等�？刂泼�令和數(shù)據(jù)傳輸可以通過(guò)短信或者GPRS數(shù)據(jù)連接進(jìn)行，所有這些通信將被隱藏和加密。

2.美國(guó)中央情報(bào)局使用的間諜軟件

2017年3月7日，維基解密（Wiki Leaks）曝光了美國(guó)中央情報(bào)局代號(hào)為“Vault7”的文件，披露了該局從2013年至2016年的大量機(jī)密文件以及大批有分量的間諜軟件，包括“哭泣天使”（Weeping Angel）、DerStarke和RickyBobby等。

“哭泣天使”是針對(duì)三星智能電視的木馬植入工具組件。該竊聽(tīng)軟件感染智能電視后，會(huì)劫持電視的關(guān)機(jī)操作，保持程序的后臺(tái)運(yùn)行，讓用戶誤以為已經(jīng)關(guān)機(jī)了，之后它會(huì)啟動(dòng)麥克風(fēng)，開(kāi)啟錄音功能，然后將錄音內(nèi)容回傳至中央情報(bào)局的后臺(tái)服務(wù)器。

 DerStarke針對(duì)蘋果OSX系統(tǒng)的啟動(dòng)驅(qū)動(dòng)級(jí)（Boot-level）的rookit植入木馬。

 RickyBobby以電影《塔拉德加之夜》中的角色RickyBobby命名，是包含多種DLL攻擊文件和執(zhí)行腳本的一款間諜軟件，可以實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的端口監(jiān)聽(tīng)、上傳和下載，以及命令執(zhí)行等功能。

 3.美國(guó)聯(lián)邦調(diào)查局使用的間諜軟件

 近年來(lái)，美國(guó)新聞媒體也多次披露了美國(guó)聯(lián)邦調(diào)查局使用的間諜軟件，包括“幻燈”“互聯(lián)網(wǎng)通信協(xié)議地址校驗(yàn)器”（CIPAV）等。

“幻燈”是美國(guó)聯(lián)邦調(diào)查局研發(fā)的“擊鍵記錄”軟件，它可以通過(guò)郵件附件或利用操作系統(tǒng)漏洞進(jìn)行遠(yuǎn)程安裝。聯(lián)邦調(diào)查局使用“幻燈”時(shí)，可以通過(guò)嫌疑人所信任的人的名義發(fā)送給他，也能通過(guò)常見(jiàn)的系統(tǒng)漏洞潛入系統(tǒng)。“幻燈”會(huì)自動(dòng)安裝在他人的計(jì)算機(jī)上。當(dāng)嫌疑人使用電子郵件時(shí)，程序就會(huì)被激活。此時(shí)，“幻燈”會(huì)記錄計(jì)算機(jī)的擊鍵情況，并將收集到的加密信息發(fā)回聯(lián)邦調(diào)查局，這樣聯(lián)邦調(diào)查局人員就可以解密嫌疑人的通信內(nèi)容。

“互聯(lián)網(wǎng)通信協(xié)議地址校驗(yàn)器”可以安裝在嫌疑人計(jì)算機(jī)上，用以監(jiān)控嫌疑人的計(jì)算機(jī)活動(dòng)。

此外，2015年7月6日意大利黑客團(tuán)隊(duì)公司的被泄露文件顯示，聯(lián)邦調(diào)查局也購(gòu)買了該公司的間諜軟件。

（原載于《保密科學(xué)技術(shù)》雜志2018年10月刊）