国际特赦组织当地时间10月9日发布的一项重大新调查报告《The Predator Files: Caught in the Net》显示,欧盟 (EU)、美国和亚洲的民间社会、记者、政治家和学者都遭到了令人震惊的间谍软件攻击。Predator间谍软件的目标包括欧洲议会主席罗伯塔·梅索拉、台湾“总统”蔡英文、美国国会议员迈克尔·麦考尔、美国参议员约翰·霍文、德国驻美国大使艾米丽·哈伯和法国欧洲议会议员皮埃尔·卡尔斯金德。多名官员、学者和机构也成为攻击目标。 该调查是“掠夺者档案”项目的一部分 ,与欧洲调查合作组织(EIC)合作,并得到Mediapart和《明镜周刊》额外深度报道的支持。 调查发现,欧洲、亚洲、中东和非洲的至少25个国家存在Intellexa联盟产品,并记录了这些产品如何被用来破坏全球人权、新闻自由和社会运动。Intellexa联盟在法国、德国、希腊、爱尔兰、捷克共和国、塞浦路斯、匈牙利、瑞士、以色列、北马其顿和阿拉伯联合酋长国 (UAE) 等多个国家拥有公司实体。国际特赦组织呼吁所有这些州立即撤销向 Intellexa联盟颁发的所有营销和出口许可证。这些国家还必须进行独立、公正、透明的调查,以确定非法目标的程度。
国际特赦组织秘书长艾格尼丝·卡拉马德说,“我们再次有证据表明强大的监视工具被用于明目张胆的攻击。这次的目标是流亡记者、公众人物和政府间官员。但我们不要误会:受害者是我们所有人、我们的社会、良好的治理和每个人的人权”。 “Intellexa联盟、Predator和其他监控产品的欧洲开发商没有采取任何措施来限制谁能够使用这种间谍软件以及出于何种目的。相反,他们只是中饱私囊,却忽视了所面临的严重人权影响。在这起最新丑闻发生后,各国唯一有效的应对措施无疑是立即在全球范围内禁止高度侵入性的间谍软件。” 国际特赦组织的安全实验室一段时间以来一直在调查功能强大且高度侵入性的Predator间谍软件的使用及其与 Intellexa联盟的联系。 2023年2月至6月期间,社交媒体平台 X(以前称为Twitter)和Facebook被用来公开实施针对属于27个人和23个机构的至少50个账户的攻击。用于定位的网络监视武器是一种名为Predator的侵入性间谍软件工具,由Intellexa联盟开发和销售。该联盟自称“基于欧盟并受监管”,是一个复杂且经常变化的集团公司,开发和销售监视产品,主打产品就是Predator间谍软件。 一个名为“@Joseph_Gordon16”的攻击者控制的X(以前的Twitter)帐户共享了许多已识别的攻击链接,这些攻击链接旨在用Predator间谍软件感染目标。该帐户的早期目标之一是来自越南的驻柏林记者Khoa Lê Trung。Khoa是thoibao.de的主编,该网站是一个在越南被屏蔽的新闻网站。自2018年以来,他因其报道而面临死亡威胁。越南媒体环境压抑,记者、博主和人权活动人士经常因恐吓而保持沉默。 这次攻击虽然不成功,但意义尤其重大,因为该网站和记者都位于欧盟,而且所有欧盟成员国都有义务控制监控技术的销售和转让。 “你不能只把它们卖给越南这样的国家。这也损害了德国人民的新闻自由和言论自由,”Khoa告诉国际特赦组织。 调查发现,@Joseph_Gordon16账户与越南有密切联系,可能代表越南当局或利益集团行事。 2023年4月,国际特赦组织安全实验室开始观察同一个“@Joseph_Gordon16”用户,目标是多名从事海事问题的学者和官员,特别是负责欧盟和联合国非法或无证捕捞政策的研究人员和官员。2017年,越南因非法、未报告和无管制捕捞而被欧盟委员会发出“黄牌警告”。
“我们观察到了数十起‘@Joseph_Gordon16’在公共社交媒体帖子中粘贴指向Predator的恶意链接的情况。有时,该链接似乎是一个善意的新闻媒体,例如《南华早报》,旨在诱使读者点击它,”国际特赦组织安全实验室负责人Donncha Ó Cearbhaill说道。 “我们的分析表明,点击该链接可能会导致读者的设备感染Predator。我们不知道是否有任何设备被感染,也不能绝对肯定地说肇事者就在越南政府内部,但该账户的利益与越南当局的利益非常密切。” Predator还可以用于零点击攻击,这意味着它可以在用户没有点击链接的情况下渗透到设备。例如,这可以通过所谓的“战术攻击”来完成,这种攻击可以感染附近的设备。高度侵入性的间谍软件目前无法进行独立审核或限制其功能。因此,调查与其使用相关的滥用行为极其困难。 调查发现,欧洲、亚洲、中东和非洲的至少25个国家存在Intellexa联盟产品,并记录了这些产品如何被用来破坏全球人权、新闻自由和社会运动。 Intellexa联盟在法国、德国、希腊、爱尔兰、捷克共和国、塞浦路斯、匈牙利、瑞士、以色列、北马其顿和阿拉伯联合酋长国 (UAE) 等多个国家拥有公司实体。国际特赦组织呼吁所有这些州立即撤销向 Intellexa联盟颁发的所有营销和出口许可证。这些国家还必须进行独立、公正、透明的调查,以确定非法目标的程度。 Predator Files调查发现Intellexa联盟产品已销往至少25个国家,包括瑞士、奥地利和德国。其他客户包括刚果、约旦、肯尼亚、阿曼、巴基斯坦、卡塔尔、新加坡、阿联酋和越南。
Intellexa联盟应停止生产和销售Predator以及任何其他类似的侵入性间谍软件,这些软件不包括允许其在尊重人权的监管框架下合法使用的技术保障措施。它还应向非法监视的受害者提供充分的赔偿或其他形式的有效补救。 国际特赦组织对与Predator间谍软件系统相关的最新技术基础设施的分析表明,安哥拉、埃及、蒙古、哈萨克斯坦、印度尼西亚、马达加斯加、苏丹和越南等地都存在某种形式的相关活动。国际特赦组织发布了攻击指标,以帮助民间社会技术人员识别并应对这种间谍软件。 国际特赦组织联系了相关实体征求意见,但没有得到回应。不过,EIC确实收到了Nexa集团主要股东和前高管的回应。他们在回应中声称Intellexa联盟已不复存在。至于越南,他们声称Nexa集团仅履行了与网络安全相关的部分合同。他们还声称Intellexa联盟的实体“严格遵守出口法规”,同时承认他们与“法治远非完美”的国家建立了“商业关系”,并进一步指出,这通常是一个政府的“政治选择”。 国际特赦组织致函越南公安部征求意见,但未收到回复。 国际特赦组织的报告重点介绍了 Intellexa多年来用来帮助其政府和执法客户在属于感兴趣人员的移动设备上悄悄安装Predator的五项技术,并列出了其他几项技术。排在首位的是Mars;这是一个安装在移动ISP位置的网络注入系统。该技术允许 Intellexa客户在目标用户浏览任何HTTP 网页时悄悄地将其重定向到Pegasus感染服务器。为了使该技术发挥作用,移动 ISP需要在其网络上安装Mars,为目标订户分配静态IP,并设置将流量从目标IP 地址转发到Mars系统的规则。报告指出:“网络注入系统可以使用包含一键浏览器漏洞利用链接的HTTP重定向来响应原始HTTP请求,该链接无需用户进一步操作即可感染设备。”第二个是硬件引流设备;Intellexa为Mars提供了一款名为Jupiter的附加产品,其客户可以使用该产品对加密的HTTPS流量进行类似的网络注入。但在这种情况下,注入仅适用于目标用户所在国家/地区托管的网站。与 Mars产品一样,客户必须说服移动ISP 在其网络上安装Jupiter硬件。该技术基本上使Intellexa客户能够将自己插入目标用户发送到本地HTTPS网站的HTTPS 请求中间并注入Predator。第三个是专门攻击三星移动设备的工具;国际特赦组织在报告中强调的另一个工具是Triton,Intellexa将这款产品定位为客户可以用来感染三星设备的产品,包括运行最新版本Android的最新型号。“该系统似乎针对的是三星设备中使用的基带软件中的漏洞,这些漏洞允许在‘不与目标交互’或目标使用浏览器或任何其他应用程序的情况下感染Predator间谍软件。” Triton攻击链涉及恶意软件,首先使用所谓的IMSI捕获器将三星设备从5G、4G 和3G降级到旧的2G协议。国际特赦组织的报告指出,一旦发生这种情况,Triton就会使用看似集成的软件定义基站来传输有效负载。第四个是WI-FI拦截工具;国际特赦组织报告强调的其他Intellexa工具包括SpearHead,这是一系列Wi-Fi 拦截和感染产品,操作员可以像詹姆斯·邦德一样将其放在公文包中,放在无人机的监视车中。Intellexa联盟合作伙伴 WiSpear的技术可实现目标识别、地理定位监控、流量拦截和有效负载传送。第五是其它杂项技术工具;主要包括Nexa集团的一款名为Alpha-Max的3G/4G GSM拦截和感染产品,以及使用元数据分析对加密WhatsApp和 Signal流量进行去匿名化的产品 Jasmine。Intellexa经常将这些技术捆绑在一起,为政府和执法机构提供端到端的监控能力。EIC调查人员获得的Intellexa报价显示,该公司以800万欧元的价格提供 Android和iOS设备的全方位远程数据提取服务。价格包括在Android和iOS设备上投递Predator的一键式漏洞利用、同时监控最多10个目标的能力、从目标系统提取的所有数据的分析以及12个月的维护服务。这么昂贵的设备、技术和服务,基本只能由政府或权力机构买单!对Intellexa运营的担忧促使美国国务院将Intellexa、Predator的制造商Cytrox AD以及其他两个联盟成员列入对美国国家安全构成风险的实体名单。该部门将这些公司描述为“贩运用于获取信息系统访问权限的网络漏洞,从而威胁全世界个人和组织的隐私和安全。微软本周发布了一份长达128页的数字防御报告,其中有一节涉及网络雇佣军组织对组织构成的新威胁,Intellexa就是其中之一。该公司将他们描述为私营部门的攻击者。微软威胁情报战略总监谢罗德·德格里波(Sherrod DeGrippo)表示:“网络雇佣兵(在政策界有时被称为网络雇佣兵)遍布各处。” “我认为我们必须继续关注这一点,因为这些实体为民族国家提供了实施破坏性行动的技术能力。”DeGrippo认为该行业是一个灰色地带,由于具有巨大的经济收益潜力,因此只会继续发展和增长。“我们必须致力于确保我们正在考虑这种威胁,将其作为威胁进行跟踪,确保我们保护我们的客户和个人免受此类威胁,并在某些方面与威胁形势无关。”就在本周,Sekoia披露了一场监控活动,马达加斯加政府在该国目标个人的移动设备上投放了Predator软件。谷歌的威胁分析小组在9月份发布了一份报告,描述了Intellexa如何为三个iOS零日漏洞开发了一个利用链,该漏洞后来被用于对埃及组织的攻击。可以预计的是,合法监控与间谍监控的界限有没有,在哪里?不可能解释得清楚。再有,公众隐私与执法监控的矛盾,本来就是一个永恒的话题,基本是无解!
1、https://www.amnesty.org/en/latest/news/2023/10/global-predator-files-spyware-scandal-reveals-brazen-targeting-of-civil-society-politicians-and-officials/2、https://www.amnesty.org/en/documents/act10/7245/2023/en/3、https://www.darkreading.com/endpoint/operation-behind-predator-mobile-spyware-industrial-scale