摩根·马奎斯-博伊尔(左)与比尔·马尔恰克一直在关注政府对电脑间谍软件的应用。
旧金山——摩根·马奎斯-博伊尔(Morgan Marquis-Boire)是谷歌(Google)的一名工程师,而比尔·马尔恰克(Bill Marczak)正在攻读计算机科学博士学位。但今年夏天,两个人却一直在当兼职侦探,从巴林起步横跨五大洲,追踪一种难以探测的监控工具。
他们发现,一些有着不良人权记录的国家,正在广泛使用一款现成的复杂电脑间谍软件。尽管这款软件的销售用途应当仅限于刑事侦查,但两个人有证据证明,该软件正在被用来针对政治异见分子。该软件就彷佛来自一部间谍电影:
它可以抓取电脑屏幕截图、记录Skype聊天、打开摄像头和麦克风,并记录按键动作。这两个人说,他们发现这种软件的手机版本,已经对所有主流手机平台进行过定制。
但是此软件尤其高明的一点是,它能出色地避过检测。它的创造者对其进行了特殊的设计,使它能够躲过卡巴斯基实验室(Kaspersky Lab)、赛门铁克(Symantec)、F-Secure和其他反病毒软件。
该软件名为FinSpy,它是一种较难探测的间谍软件工具,正在不断增长的非定制电脑监控技术市场上出售,赋予各国政府开展复杂的插件式监控行动的手段。研究发现,该软件现在连接到了位于十多个国家的服务器上,这些国家包括土库曼斯坦、汶莱和巴林,尽管没有任何国家的政府承认将该软件用于监控。
这种技术的市场“10年前还不存在”,但现在已经发展到年营业额50亿美元的规模,TeleStrategies公司总裁杰里·卢卡斯(Jerry Lucas)表示。该公司是世界情报支持系统展览(ISS World)的主办方,在这个年度监控系统展会上,执法人员们可以了解威廉亚洲官网 的电脑间谍软件。
FinSpy由英国公司伽马集团(Gamma Group)开发。该公司称,它将监控软件卖给政府时,仅限用于刑事侦查。
“这种软件具有双重用途,”电子前沿基金会(Electronic Frontier Foundation)的伊娃·加尔佩林(EvaGalperin)说道。“如果你把它卖给一个遵循法治的国家,他们就可以将其用于执法;如果你卖给的是一个法治观念不那么强的国家,它就会被用来监控记者和异见人士。”电子前沿基金会是一家关注互联网公民自由的团体。
直到马奎斯-博伊尔和马尔恰克在去年5月偶然发现FinSpy之前,安全研究人员曾用一年时间尝试追踪,但并未成功。在2011年3月,抗议者冲入埃及国家安全部门的总部后,发现了一份似乎是商业提案的文件,文件显示伽玛集团曾以35.3万美元的价格向胡斯尼·穆巴拉克(Hosni Mubarak)政府兜售FinSpy系统。此事件使得FinSpy声名狼藉,目前尚不清楚,双方当时是否完成了这一交易。
伽马集团董事总经理马丁·J·明奇(Martin J. Muench)表示,该公司不会透露客户信息。他在一封电子邮件中说,伽马集团卖给政府的FinSpy只用来监控犯罪,最常用于“打击恋童癖、恐怖分子、有组织犯罪、绑架和贩卖人口”。
今年32岁的马奎斯-博伊尔住在旧金山,24岁的马尔恰克住在加利福尼亚州伯克利。今年5月两人自发对一些发送给三名巴林(Bahrain)活动人士的可疑电子邮件进行分析。他们发现,所有的电子邮件中都包含间谍软件,这些软件都向同一台位于巴林的指挥控制服务器发回数据。这三位活动人士都没有过任何犯罪记录,而这种明显是使用间谍软件监控巴林活动人士的做法,显示出该软件的用途已经变得更加广泛。巴林已经因侵犯人权受到了越来越多的批评。8月,一名16岁的巴林抗议者遇害,活动人士称,他死于安全部队的残暴袭击,但巴林政府则表示,安全部队的行为是自卫。
两人的发现在业内人士看来并不令人惊讶。奥巴马总统的前网络安全高级主管萨米尔·巴罗特拉(Sameer Bhalotra)说,“用于突破网络系统的攻击工具很明显变得更容易获得了。这些工具曾一度属于黑市及情报机构,现在却变得越来越普及。问题是,只需要很小的修改,就能将监控工具用于攻击。而在这起个案当中,异见人士似乎成了目标。”巴罗特拉现在担任电脑安全公司Impermium的首席运营官。
从研究发现公布以来,其他研究人员,以及怀疑自己成为攻击目标的活动团体,就开始向马奎斯-博伊尔和马尔恰克提交恶意软件样本。在几个案例中,两人发现恶意软件样本向伽马集团运营的网站发回数据。而另一些样本似乎是在为其他国家的政府积极窥探情报。
位于波士顿的Rapid7公司的另一组研究人员在互联网上广泛搜寻该软件的连接,发现它还在另外10个国家运行。实际上,这款恶意软件曾在亚马逊 (Amazon.com)的云存储服务器EC2上运行。亚马逊没有对要求作出澄清的请求予以回应,不过马尔恰克和马奎斯-博伊尔说,该服务器似乎是用于掩盖流量的代理服务器。
马奎斯-博伊尔说,位于土库曼斯坦的一台运行该软件的服务器,属于专门分配给该国通信部的IP地址段。这是一国政府在其电脑系统中运行这款间谍软件的第一个证据确凿的案例。
伽马集团不愿确认曾向土库曼斯坦销售软件。土库曼斯坦驻华盛顿大使馆的一位武官也拒绝发表评论。
过去两个月里,明奇一再否认研究人员锁定了该公司的间谍软件,不过周三他却突然改口。
在研究人员公布威廉亚洲官网 的研究发现后的一个小时内,明奇便发布声明,称伽马集团的服务器遭到入侵,若干演示版本的FinSpy软件副本被窃取。
马尔恰克称,周四下午,若干台FinSpy服务器开始消失。位于新加坡、印度尼西亚、蒙古和汶莱的服务器关机,而位于巴林的一台服务器短暂关闭后,又在另一个地点重新启动。
来源:看完这篇文章觉得
排序