國外間諜軟件發(fā)展應(yīng)用情況淺析

隨著通信技術(shù)的飛速發(fā)展，傳統(tǒng)的合法監(jiān)聽技術(shù)已經(jīng)不能滿足獲取目標(biāo)通信信息的需求，因此推動了間諜軟件越來越廣泛的應(yīng)用。間諜軟件可以實現(xiàn)諸多目的：竊取設(shè)備流量與內(nèi)容，記錄鍵盤敲擊情況，監(jiān)控上網(wǎng)記錄，監(jiān)控上傳及下載內(nèi)容，接管麥克風(fēng)或攝像頭，冒充身份發(fā)送虛假信息等。與此同時，間諜軟件既可以通過USB接口直接植入目標(biāo)設(shè)備，也可以通過釣魚網(wǎng)站、電子郵件、互聯(lián)網(wǎng)廣告、社交媒體或社會工程學(xué)遠(yuǎn)程植入目標(biāo)設(shè)備。本文從國外典型間諜軟件及其應(yīng)用、國外間諜軟件有關(guān)法律、美國情報機(jī)構(gòu)使用的間諜軟件等方面進(jìn)行了相關(guān)研究。

一、國外典型間諜軟件及其應(yīng)用

目前，美國、以色列、俄羅斯、德國等發(fā)達(dá)國家的諸多公司均推出了間諜軟件，間諜軟件被世界某些情報、執(zhí)法機(jī)構(gòu)廣泛應(yīng)用。近年來，一些國外間諜軟件公司，如德國FinFisher公司、意大利黑客團(tuán)隊公司的間諜軟件的應(yīng)用情況不斷被曝光，引發(fā)了世人的高度關(guān)注。

早在2013年，加拿大多倫多大學(xué)公民實驗室發(fā)布報告稱，F(xiàn)inFisher軟件的指令和控制服務(wù)器在澳大利亞、巴林、孟加拉、文萊、加拿大、捷克、愛沙尼亞、埃塞俄比亞、德國、印度、印度尼西亞、日本、拉脫維亞、馬來西亞、墨西哥、蒙古、荷蘭、卡塔爾、塞爾維亞、新加坡、土庫曼斯坦、阿聯(lián)酋、英國、美國、越南25個國家均得以被發(fā)現(xiàn)。

2015年7月6日，意大利黑客團(tuán)隊公司的400GB內(nèi)部文件被匿名黑客上傳至互聯(lián)網(wǎng)，引發(fā)業(yè)內(nèi)一片嘩然。文件顯示，黑客團(tuán)隊公司向全球36個國家和地區(qū)出售間諜軟件。例如，在一些看起來像是客戶名單的文件中，發(fā)現(xiàn)了阿塞拜疆、巴林、埃及、埃塞俄比亞、哈薩克斯坦、摩洛哥、尼日利亞、阿曼、沙特阿拉伯、蘇丹等國家，以及美國緝毒署、聯(lián)邦調(diào)查局和國防部等機(jī)構(gòu)；在一些看起來像是購買合同的文件中，披露了黑客團(tuán)隊公司分別向埃塞俄比亞、蘇丹的情報機(jī)構(gòu)開具的價值100萬美元和48萬美元的間諜軟件發(fā)票。

二、國外間諜軟件有關(guān)法律

國外與間諜軟件有關(guān)的法律較少，目前已知德國和意大利分別立法進(jìn)行了規(guī)制。德國《聯(lián)邦刑事警察法》規(guī)定，執(zhí)法機(jī)構(gòu)在掌握具體偵查線索的前提下，可以向犯罪嫌疑人的計算機(jī)發(fā)送間諜軟件，以監(jiān)控犯罪嫌疑人的電子郵件，監(jiān)聽犯罪嫌疑人網(wǎng)絡(luò)電話通話的內(nèi)容，閱讀嫌疑人在網(wǎng)絡(luò)聊天室的聊天記錄等。意大利《刑事訴訟法細(xì)則》第226條規(guī)定了一種特殊的監(jiān)聽方式情報預(yù)警監(jiān)聽，執(zhí)法機(jī)構(gòu)在實施此種監(jiān)聽時，可利用間諜軟件，但其獲得的全部資料均不得用于刑事訴訟。與此同時，《刑事訴訟法細(xì)則》對情報預(yù)警監(jiān)聽的申請與審批、適用的犯罪類別等進(jìn)行了詳細(xì)規(guī)定。

此外，在間諜軟件的國際貿(mào)易規(guī)制方面，2012年以前，一些歐洲國家基于歐盟兩用物品控制目錄中的“類別5A002（密碼學(xué)）”來控制間諜軟件的出口。例如，2012年，英國政府開始對英國伽馬國際公司間諜軟件的出口進(jìn)行管制。目前，間諜軟件的出口由修訂后的歐盟出口管制政策和《瓦森納協(xié)定》管制。

三、美國情報機(jī)構(gòu)使用的間諜軟件

自斯諾登事件發(fā)生以來，有關(guān)美國國家安全局、中央情報局、聯(lián)邦調(diào)查局等情報機(jī)構(gòu)使用間諜軟件的情況逐漸得到披露。美國情報機(jī)構(gòu)一方面使用國外公司研發(fā)的間諜軟件（如聯(lián)邦調(diào)查局被曝采購意大利黑客團(tuán)隊公司間諜軟件），另一方面還使用自主開發(fā)的間諜軟件。

1.美國國家安全局使用的間諜軟件

2013年12月30日，德國《明鏡》周刊披露了一份長達(dá)50頁的ANT產(chǎn)品文件，該文件披露了一個名為ANT的秘密組織為美國國家安全局下屬的“獲取特定情報行動辦公室”（TAO）提供的48種秘密監(jiān)控技術(shù)產(chǎn)品。在這些產(chǎn)品中，可以看出國家安全局所使用的一些間諜軟件，如“源頭”（HEADWATER）和“退學(xué)吉普”（DROPPUTJEEP）。

“源頭”是為某公司的路由器而設(shè)置的間諜軟件的統(tǒng)稱，美國國家安全局/中央情報局已經(jīng)在其合作項目中采用間諜軟件對其網(wǎng)絡(luò)設(shè)備進(jìn)行入侵�！霸搭^”的間諜軟件植入器可通過遠(yuǎn)程運作中心人員操作，利用互聯(lián)網(wǎng)遠(yuǎn)程轉(zhuǎn)移到特定目標(biāo)路由器。當(dāng)轉(zhuǎn)移過程結(jié)束時，間諜軟件將通過一個升級指令而植入路由器的引導(dǎo)ROM當(dāng)中。在系統(tǒng)重新啟動時，間諜軟件就被激活。一旦被激活，遠(yuǎn)程運作中心人員就能在間諜軟件捕捉和檢查通過路由器的所有IP包時，對間諜軟件進(jìn)行控制。

“退學(xué)吉普”是植入蘋果手機(jī)的間諜軟件，可提供專門的信號情報收集功能。這些功能包括遠(yuǎn)程向設(shè)備推送文件或取出設(shè)備中的文件，以及檢索短信、檢索聯(lián)系人列表、獲取語言郵件、獲取地理位置、控制麥克風(fēng)、控制攝像頭等�？刂泼�令和數(shù)據(jù)傳輸可以通過短信或者GPRS數(shù)據(jù)連接進(jìn)行，所有這些通信將被隱藏和加密。

2.美國中央情報局使用的間諜軟件

2017年3月7日，維基解密（Wiki Leaks）曝光了美國中央情報局代號為“Vault7”的文件，披露了該局從2013年至2016年的大量機(jī)密文件以及大批有分量的間諜軟件，包括“哭泣天使”（Weeping Angel）、DerStarke和RickyBobby等。

“哭泣天使”是針對三星智能電視的木馬植入工具組件。該竊聽軟件感染智能電視后，會劫持電視的關(guān)機(jī)操作，保持程序的后臺運行，讓用戶誤以為已經(jīng)關(guān)機(jī)了，之后它會啟動麥克風(fēng)，開啟錄音功能，然后將錄音內(nèi)容回傳至中央情報局的后臺服務(wù)器。

 DerStarke針對蘋果OSX系統(tǒng)的啟動驅(qū)動級（Boot-level）的rookit植入木馬。

 RickyBobby以電影《塔拉德加之夜》中的角色RickyBobby命名，是包含多種DLL攻擊文件和執(zhí)行腳本的一款間諜軟件，可以實現(xiàn)對目標(biāo)系統(tǒng)的端口監(jiān)聽、上傳和下載，以及命令執(zhí)行等功能。

 3.美國聯(lián)邦調(diào)查局使用的間諜軟件

 近年來，美國新聞媒體也多次披露了美國聯(lián)邦調(diào)查局使用的間諜軟件，包括“幻燈”“互聯(lián)網(wǎng)通信協(xié)議地址校驗器”（CIPAV）等。

“幻燈”是美國聯(lián)邦調(diào)查局研發(fā)的“擊鍵記錄”軟件，它可以通過郵件附件或利用操作系統(tǒng)漏洞進(jìn)行遠(yuǎn)程安裝。聯(lián)邦調(diào)查局使用“幻燈”時，可以通過嫌疑人所信任的人的名義發(fā)送給他，也能通過常見的系統(tǒng)漏洞潛入系統(tǒng)�！盎脽簟睍�自動安裝在他人的計算機(jī)上。當(dāng)嫌疑人使用電子郵件時，程序就會被激活。此時，“幻燈”會記錄計算機(jī)的擊鍵情況，并將收集到的加密信息發(fā)回聯(lián)邦調(diào)查局，這樣聯(lián)邦調(diào)查局人員就可以解密嫌疑人的通信內(nèi)容。

“互聯(lián)網(wǎng)通信協(xié)議地址校驗器”可以安裝在嫌疑人計算機(jī)上，用以監(jiān)控嫌疑人的計算機(jī)活動。

此外，2015年7月6日意大利黑客團(tuán)隊公司的被泄露文件顯示，聯(lián)邦調(diào)查局也購買了該公司的間諜軟件。

（原載于《保密科學(xué)技術(shù)》雜志2018年10月刊）