间谍软件行业蓬勃发展 网络安全问题难以防范
随着通信技术的飞速发展,传统的合法监听技术已经不能满足获取目标通信信息的需求,因此推动了间谍软件越来越广泛的应用。
近期,Lookout、谷歌先后发布报告,披露了使用6个漏洞利用(其中有2个0day)的意大利商业间谍软件Hermit。
谷歌安全专家称,小组在2021年发现九个零日漏洞,其中有七个由商业供应商开发,并出售给政府支持黑客以供其使用。
随着商业间谍软件供应商的崛起,具备数字监控能力的政府越来越多,这对互联网用户构成了严重的信任威胁。
间谍软件发展应用情况浅析
间谍软件可以实现诸多目的:窃取设备流量与内容,记录键盘敲击情况,监控上网记录,监控上传及下载内容,接管麦克风或摄像头,冒充身份发送虚假信息等。
与此同时,间谍软件既可以通过USB接口直接植入目标设备,也可以通过钓鱼网站、电子邮件、互联网广告、社交媒体或社会工程学远程植入目标设备。
国外典型间谍软件及其应用
目前,美国、以色列、俄罗斯、德国等发达国家的诸多公司均推出了间谍软件,间谍软件被世界某些情报、执法机构广泛应用。
近年来,一些国外间谍软件公司,如德国FinFisher公司、意大利黑客团队公司的间谍软件的应用情况不断被曝光,引发了世人的高度关注。
2015年7月6日,意大利黑客团队公司的400GB内部文件被匿名黑客上传至互联网,引发业内一片哗然。文件显示,黑客团队公司向全球36个国家和地区出售间谍软件。
例如,在一些看起来像是客户名单的文件中,发现了阿塞拜疆、巴林、埃及、埃塞俄比亚、哈萨克斯坦、摩洛哥、尼日利亚、阿曼、沙特阿拉伯、苏丹等国家,以及美国缉毒署、联邦调查局和国防部等机构。
国外间谍软件有关法律
国外与间谍软件有关的法律较少,目前已知德国和意大利分别立法进行了规制。
德国《联邦刑事警察法》规定,执法机构在掌握具体侦查线索的前提下,可以向犯罪嫌疑人的计算机发送间谍软件,以监控犯罪嫌疑人的电子邮件,监听犯罪嫌疑人网络电话通话的内容,阅读嫌疑人在网络聊天室的聊天记录等。
意大利《刑事诉讼法细则》第226条规定了一种特殊的监听方式情报预警监听,执法机构在实施此种监听时,可利用间谍软件,但其获得的全部资料均不得用于刑事诉讼。与此同时,《刑事诉讼法细则》对情报预警监听的申请与审批、适用的犯罪类别等进行了详细规定。
此外,在间谍软件的国际贸易规制方面,2012年以前,一些欧洲国家基于欧盟两用物品控制目录中的“类别5A002(密码学)”来控制间谍软件的出口。
例如,2012年,英国政府开始对英国伽马国际公司间谍软件的出口进行管制。目前,间谍软件的出口由修订后的欧盟出口管制政策和《瓦森纳协定》管制。
美国所使用的间谍软件
自斯诺登事件发生以来,有关美国国家安全局、中央情报局、联邦调查局等情报机构使用间谍软件的情况逐渐得到披露。美国情报机构一方面使用国外公司研发的间谍软件(如联邦调查局被曝采购意大利黑客团队公司间谍软件),另一方面还使用自主开发的间谍软件。
一、美国中央情报局使用的间谍软件
2017年3月7日,维基解密(Wiki Leaks)曝光了美国中央情报局代号为“Vault7”的文件,披露了该局从2013年至2016年的大量机密文件以及大批有分量的间谍软件,包括“哭泣天使”(Weeping Angel)、DerStarke和RickyBobby等。
“哭泣天使”是针对三星智能电视的木马植入工具组件。该窃听软件感染智能电视后,会劫持电视的关机操作,保持程序的后台运行,让用户误以为已经关机了,之后它会启动麦克风,开启录音功能,然后将录音内容回传至中央情报局的后台服务器。
DerStarke针对苹果OSX系统的启动驱动级(Boot-level)的rookit植入木马。
RickyBobby是包含多种DLL攻击文件和执行脚本的一款间谍软件,可以实现对目标系统的端口监听、上传和下载,以及命令执行等功能。
二、美国联邦调查局使用的间谍软件
近年来,美国新闻媒体也多次披露了美国联邦调查局使用的间谍软件,包括“幻灯”“互联网通信协议地址校验器”(CIPAV)等。
“幻灯”是美国联邦调查局研发的“击键记录”软件,它会自动安装在他人的计算机上。当嫌疑人使用电子邮件时,程序就会被激活。此时,“幻灯”会记录计算机的击键情况,并将收集到的加密信息发回联邦调查局,这样联邦调查局人员就可以解密嫌疑人的通信内容。
“互联网通信协议地址校验器”可以安装在嫌疑人计算机上,用以监控嫌疑人的计算机活动。
可以想象,间谍软件行业目前正在“蓬勃发展并保持着可观的增长速度”。
但这个行业的存在,本身也与政府“保护民主这一基本价值观背道而驰,他们提供的工具往往被政府用于打击政治异见者、记者、人权人士以及反对党政客。”
间谍软件危机加剧
2021 年 7 月, 以色列间谍软件“监听门”事件成为国际焦点。这款间谍软件以神话中的“飞马”(Pegasus)命名, 由以色列网络武器公司 NSO Group 开发,可以“通过空中飞行”感染手机,它可以秘密安装在运行大多数版本的 iOS 和 Android 的手机(和其他设备) 上。
“飞马”攻击事件经媒体曝光后,国际舆论一片哗然,在国际社会引起轩然大波,影响巨大,被称为 2021 年度的一大标志性事件。
监听对象涉及多国元首和政界要员
2021 年 7 月 18 日, 华盛顿邮报、卫报、世界报等全球 10 个国家的 17 家国际知名媒体机构与非政府组织“禁忌故事”和国际特赦组织合作,对“飞马”软件调查数月之后共同发表了一项调查报告,揭露了一个重大信息:多个国家元首和政界要员都受到了这款软件的监听。
监听对象有至少 14 位政界的重量级人物, 其中包括:法国总统马克龙、伊拉克总统萨利赫、南非总统拉马福萨等。
此外, 还有一大批各个国家的王室成员、政府官员、企业高管、著名人士、媒体记者等公众人物,不难看出,监视活动的目标有着鲜明的政治指向性。
攻击能力超乎寻常
“飞马”间谍软件的攻击能力超乎寻常,它能够远程和秘密地从几乎任何移动设备中提取有价值的情报,可以在不需要点击的情况下侵入手机自动激活,提取包括照片、定位、密码、通话记录、联系人信息等手机上的数据。
还能悄悄打开摄像头和麦克风,实时监控机主的一切活动;监听时间则长短不一,短时甚至只有几秒。据悉,该软件可以躲避苹果和安卓系统的防御手段,几乎不会留下攻击的痕迹。任何常用的隐私保护措施,如强密码或加密,对它都没有作用。
媒体使用了“军事级间谍程序”、“目前为止最危险的间谍软件之一”、“有史以来最强大的间谍软件”、“达到无所不能的地步”等措词来形容这款软件的强大。
“飞马”间谍软件 图源:人民视觉
间谍软件该如何应对
这一类的间谍软件,由于采用了十分先进的技术,可以隐藏数年不被发现,更难以溯源。因此,即时检测和发现就成为防范这类间谍软件的关键。
其次,需要从管理和制度上把好各个“关口”, 比如,应该建立对外来APP的“隔离”机制,待安全无害后,才允许使用,
最后,全面提升国家网络治理体系和治理能力现代化水平。
第一,将网络安全升级为数字安全,打造覆盖所有数字化场景的数字安全防范应急体系,鼓励相关机构主动上报风险。
这要求建立区域、行业级安全大脑,打造国家级的防御体系——国家级的分布式安全大脑,为“看见”网络攻击提供能力基础。大数据分析是目前唯一证明有效看见攻击的方法,可以从大数据中建立攻击行为的全局视角,看到网络攻击行为的全貌。
第二,要加强实网、实兵、实战演练,在实战中提升各单位的攻防能力。没有攻不破的网络,利用漏洞,每一个系统都可能被攻击。要进行实战攻防演练,提升网络空间、关键基础设施的攻防能力。
第三,全网测绘、摸清家底,要定期针对关键基础设施展开APT(高级可持续威胁攻击)排查。要假定敌已在我,实时动态推进重要信息系统排查,摸清家底,实现自动化威胁识别、风险阻断和攻击溯源,从源头上提升国内关键信息基础设施的安全防御水平。
最后,应切实提升组织机构人员网络安全意识,领导人的安全意识和相关决策更是网络安全防御工事的重中之重。
责编:孙浪
监制:李红梅
参考资料:
1.《去年至少7个零日漏洞被商业化!间谍软件行业正蓬勃发展》安全内参
2.《国外间谍软件发展应用情况浅析》网信天津
3.《以色列“飞马”间谍软件攻击事件的综合分析》信息安全与通信保密杂志社
4.《最强间谍软件:难以防范的国家安全威胁》安全内参
5.《美国顶级“武器”平台曝光 全球网民遭无差别攻击》科技日报
6.《网络空间安全面临的挑战与对策》中国网
7.《以色列软件“飞马”被曝监听多国政要记者,涉5万个电话号码》观察者网