文/Thomas Brewster
今年早些時候,俄羅斯網路安全公司卡巴斯基的研究人員目睹了一場針對中國和巴基斯坦政府和電信機構的Windows電腦的網路間諜活動。該間諜活動從2020年6月開始,一直持續到了2021年4月。其中,引起研究人員興趣的是這些數字間諜使用的駭客軟體,而卡巴斯基則給這些間諜起了個綽號叫Bitter APT,用來代表一個身份不明的政府機構。另外,卡巴斯基似乎此前見過這次間諜活動涉及的程式碼,並將其背後的公司稱為“摩西”。
卡巴斯基表示,摩西是一個神秘的駭客技術供應商,被稱為“零日漏洞中間人”。在價值1,300億美元的網路安全產業中,摩西這類公司經營的是一個利基市場,其開發的軟體可以透過被稱為“零日漏洞”的未修補漏洞入侵電腦。他們提供的就像是超級開鎖服務,透過在作業系統或應用程式中尋找漏洞來讓駭客或間諜侵入目標的數字化運作。這樣的服務非常罕見,以至於每幹一票都能入賬200萬美元以上。該服務的買家可以在保護自己不受那些可能知道相關零日資訊的人的傷害的同時,對他人造成巨大損害。例如,在2020年對軟體供應商SolarWinds及其許多客戶(包括美國政府、思科、微軟等)發起的臭名昭著的入侵中,入侵者至少使用了一次零日漏洞攻擊,而這次攻擊使SolarWinds損失了至少1,800萬美元。有警告稱,如果算上其客戶的損失,總損失數額可能達到數百億美元。
然後有時候,美國公司並不是這類事件的受害者,反而是它們助長了代價高昂的數字間諜活動。透過兩位瞭解卡巴斯基研究的訊息人士,《福布斯》瞭解到,摩西的真實身份是美國德克薩斯州奧斯汀市一家名為Exodus Intelligence的公司。其中一位訊息人士還稱,摩西的客戶Bitter APT其實是印度。
Exodus在網路安全和情報以外的領域鮮為人知。但在過去十年裡,因為上了《時代》的封面報道,並洩露了執法部門用來入侵匿名瀏覽器Tor以誘捕兒童性侵者的工具,Exodus還是有了一定名聲,它還聲稱與美國國防部研究機構Darpa、思科、Fortinet等主要科技公司建立了合作關係。“Exodus重要,因為這個市場相對較小,在特定的時間範圍裡,你只能在全世界裡找到幾千個擁有發現零日漏洞技能的人。”Luta Security創始人凱蒂·穆蘇里斯(Katie Moussouris)表示。她還發起了微軟的漏洞懸賞專案,以獎勵那些披露漏洞的駭客。
當“五眼聯盟”(美國、英國、加拿大、澳大利亞、紐西蘭組成的情報共享聯盟)或其盟友提出請求時,Exodus將提供有關零日漏洞的資訊和利用該漏洞所需要的軟體,但它的產品主要還是類似於Facebook資訊流的漏洞訊息推送,每年售價高達25萬美元。公司將自己包裝為防衛者的工具,但其實客戶可以基於Exodus提供的零日漏洞資訊做他們想做的事——這些資訊通常涵蓋最流行的作業系統,包括Windows、Android、iOS。
37歲的Exodus聯合創始人兼執行長洛根·布朗(Logan Brown)表示,印度購買了這些訊息推送,並很可能將其變成了武器。他在接受《福布斯》採訪時稱,經過調查,他相信印度從訊息中挑選了一個Windows漏洞——這允許外來者對其進行深度訪問——而印度政府人員或承包商則將其修改成了惡意手段。布朗表示,此事發生後,印度在今年4月被禁止從他的公司購買新的零日漏洞研究結果,而且公司也已經與微軟合作修補了漏洞。布朗還說,印度的做法過界了,但Exodus並沒有限制客戶如何使用其研究結果。“如果你願意,可以在使用時帶有攻擊性。但如果你打算用其對付巴基斯坦和中國,那我就不想扯上關係了。“
Exodus還研究了卡巴斯基認為是摩西造成的第二個漏洞——這是另一個允許駭客在Windows電腦上獲得更高許可權的漏洞。雖然這與任何特定的間諜活動無關,但布朗證實,這是他其中一家公司做的,並稱印度或其承包商也可能將這一漏洞武器化了。
目前,布朗在調查其程式碼是否被洩露或被他人濫用。而據卡巴斯基表示,除了之前提到的兩個已經被濫用的零日漏洞之外,在過去兩年裡,已經至少有6個摩西製造的漏洞流入了公共領域。卡巴斯基還說,另一個名為“DarkHotel”的駭客組織也利用了摩西的零日漏洞。一些網路安全研究人員認為,該組織得到了韓國的資助,但韓國並不是Exodus的客戶。“我們非常肯定印度洩露了我們的一些研究結果。我們已經切斷了和他們的聯絡,再沒聽到任何訊息。所以我們的假設是正確的。”布朗說道。
任何類似的零日漏洞洩漏都會令人擔憂,Exodus也正試圖將零日洩漏的數量控制在每年50個左右。布朗並不是唯一一個看到自己產品被用在意想不到地方的人。義大利零日漏洞開發者盧卡·託代斯科(Luca Todesco)曾在《福布斯》上發表文章,表示在看到iPhone被駭客用來監視中國特定群體後,感到“這是自己從事這一行業所能看到的最糟糕結果”。隨著歌研究人員對iPhone被侵展開解釋,託代斯科意識到,這家科技巨頭介紹的其中一項技術看起來很像他曾經開發並分享給中國聯絡人的東西。託代斯科否認曾經出售過任何帶來攻擊行為的程式碼,但他說自己一直在公開地與多名匿名人士分享其最新發現。他聲稱不知道自己的程式碼最終是如何或者為什麼被用於攻擊性行為的,“如果我知道,就不會分享了。”
這種對漏洞的濫用正是36歲的亞倫•波特諾伊(Aaron Portnoy)最近所擔心的。他是Exodu的聯合創始人,曾花了10年時間開發可以繞過蘋果、谷歌、微軟等世界最大公司安全系統的駭客軟體。在2015年離開Exodu後,波特諾伊繼續為國防巨頭雷神公司和總部位於聖地亞哥的“電子戰”初創公司Boldend工作。但如今,這位從西北大學輟學、投身網路安全事業並自學成才的駭客擔心,他永遠不知道誰能訪問他的程式碼,也不知道他們會如何使用這些程式碼。他現在後悔把“零日漏洞”的管理權交給了銷售人員。“這幾乎就像我被利用了,感覺就像我是一個被用來實現更大目標的工具,但我沒有真正瞭解這個目標。”波特諾伊表示。他現在在美國馬薩諸塞州的網路安全公司Randori工作。
穆蘇里斯指出,Exodu切斷與印度關係的做法是正確的,當涉及到防止濫用時,買家應該承擔更多的責任。布朗則表示,在印度之前,他只將一個客戶拉入過黑名單,即一家法國警察機構,當時它使用Exodus服務來針對暗網兒童性侵者的行為遭到了曝光。“不論任何時候,只要我們的資料會被公眾,尤其是懷有惡意的人獲取,這就是違約。”
Exodu知道其零日漏洞服務可以被當成攻擊手段,它本可以選擇不賣給印度,特別是該國最近被揭露在全球範圍內濫用一種由以色列NSO集團製造的間諜軟體。今年早些時候,一個由報紙和非營利組織形成的、名為“飛馬專案”(Pegasus Project)的聯盟稱,印度主要反對黨——印度國民大會黨(Indian National Congress party)的領袖拉胡爾·甘地(Rahul Gandhi)及其一些親密助手的電話曾成為攻擊目標,導致了印度總理莫迪領導下的政府被控叛國罪。2019年,臉書旗下的軟體WhatsApp表示,印度記者和激進人士成為了監控目標,使用的就是NSO的iPhone監控軟體。
微軟總裁布拉德·史密斯(Brad Smith)曾在今年對全球間諜軟體行業構成的潛在危險發出警告,並點名了NSO。他說,行業供應商正在“提升主要的民族和國家攻擊者的能力”,並加劇了“網路攻擊向有錢卻沒有人制造武器的其它政府的擴散”。隨著印度使用Exodu的服務,人們擔心美國公司會讓事情變得更糟。《福布斯》曾披露,波士頓風險投資公司Battery曾悄悄幫助推出NSO的競爭對手Paragon。本月早些時候,美國司法部則表示,兩家美國公司向阿聯酋的一家承包商出售了iPhone入侵軟體,每款軟體的成本為130萬美元,而該承包商當時正在為阿聯酋進行間諜活動。據路透社報道,這些iOS漏洞被用於數百個目標,包括卡達埃米爾和葉門的一位諾貝爾和平獎得主,同時也是一位人權活動家。
另一方面,美國政府對各種駭客技術也是十分渴求。今年早些時候,兩名FBI探員在佛羅里達州被一名戀童癖嫌疑人槍殺,而正是門鈴上的攝像頭提醒了槍手有執法人員出現。布朗說,在案件發生後,FBI聯絡了Exodu之類的公司,希望其能夠為家庭攝像頭等裝置提供更好的“監控功能”。布朗還表示,自從許多員工在新冠疫情後重返辦公室以來,對智慧手機監控工具的需求就在不斷激增。
![印度外交官有個擔憂:中國也在組建"四國集團"](http://i.kkannews.com/thumb/280x220/2/f4/2f42891b04168bdffc029cd809cadb96.jpg "印度外交官有個擔憂:中國也在組建"四國集團"")
