文/Thomas Brewster
今年早些时候,俄罗斯网络安全公司卡巴斯基的研究人员目睹了一场针对中国和巴基斯坦政府和电信机构的Windows电脑的网络间谍活动。该间谍活动从2020年6月开始,一直持续到了2021年4月。其中,引起研究人员兴趣的是这些数字间谍使用的黑客软件,而卡巴斯基则给这些间谍起了个绰号叫Bitter APT,用来代表一个身份不明的政府机构。另外,卡巴斯基似乎此前见过这次间谍活动涉及的代码,并将其背后的公司称为“摩西”。
卡巴斯基表示,摩西是一个神秘的黑客技术供应商,被称为“零日漏洞中间人”。在价值1,300亿美元的网络安全产业中,摩西这类公司经营的是一个利基市场,其开发的软件可以通过被称为“零日漏洞”的未修补漏洞入侵电脑。他们提供的就像是超级开锁服务,通过在操作系统或应用程序中寻找漏洞来让黑客或间谍侵入目标的数字化运作。这样的服务非常罕见,以至于每干一票都能入账200万美元以上。该服务的买家可以在保护自己不受那些可能知道相关零日信息的人的伤害的同时,对他人造成巨大损害。例如,在2020年对软件供应商SolarWinds及其许多客户(包括美国政府、思科、微软等)发起的臭名昭著的入侵中,入侵者至少使用了一次零日漏洞攻击,而这次攻击使SolarWinds损失了至少1,800万美元。有警告称,如果算上其客户的损失,总损失数额可能达到数百亿美元。
然后有时候,美国公司并不是这类事件的受害者,反而是它们助长了代价高昂的数字间谍活动。通过两位了解卡巴斯基研究的消息人士,《福布斯》了解到,摩西的真实身份是美国德克萨斯州奥斯汀市一家名为Exodus Intelligence的公司。其中一位消息人士还称,摩西的客户Bitter APT其实是印度。
Exodus在网络安全和情报以外的领域鲜为人知。但在过去十年里,因为上了《时代》的封面报道,并泄露了执法部门用来入侵匿名浏览器Tor以诱捕儿童性侵者的工具,Exodus还是有了一定名声,它还声称与美国国防部研究机构Darpa、思科、Fortinet等主要科技公司建立了合作关系。“Exodus重要,因为这个市场相对较小,在特定的时间范围里,你只能在全世界里找到几千个拥有发现零日漏洞技能的人。”Luta Security创始人凯蒂·穆苏里斯(Katie Moussouris)表示。她还发起了微软的漏洞悬赏项目,以奖励那些披露漏洞的黑客。
当“五眼联盟”(美国、英国、加拿大、澳大利亚、新西兰组成的情报共享联盟)或其盟友提出请求时,Exodus将提供有关零日漏洞的信息和利用该漏洞所需要的软件,但它的产品主要还是类似于Facebook信息流的漏洞消息推送,每年售价高达25万美元。公司将自己包装为防卫者的工具,但其实客户可以基于Exodus提供的零日漏洞信息做他们想做的事——这些信息通常涵盖最流行的操作系统,包括Windows、Android、iOS。
37岁的Exodus联合创始人兼首席执行官洛根·布朗(Logan Brown)表示,印度购买了这些消息推送,并很可能将其变成了武器。他在接受《福布斯》采访时称,经过调查,他相信印度从消息中挑选了一个Windows漏洞——这允许外来者对其进行深度访问——而印度政府人员或承包商则将其修改成了恶意手段。布朗表示,此事发生后,印度在今年4月被禁止从他的公司购买新的零日漏洞研究结果,而且公司也已经与微软合作修补了漏洞。布朗还说,印度的做法过界了,但Exodus并没有限制客户如何使用其研究结果。“如果你愿意,可以在使用时带有攻击性。但如果你打算用其对付巴基斯坦和中国,那我就不想扯上关系了。“
Exodus还研究了卡巴斯基认为是摩西造成的第二个漏洞——这是另一个允许黑客在Windows电脑上获得更高权限的漏洞。虽然这与任何特定的间谍活动无关,但布朗证实,这是他其中一家公司做的,并称印度或其承包商也可能将这一漏洞武器化了。
目前,布朗在调查其代码是否被泄露或被他人滥用。而据卡巴斯基表示,除了之前提到的两个已经被滥用的零日漏洞之外,在过去两年里,已经至少有6个摩西制造的漏洞流入了公共领域。卡巴斯基还说,另一个名为“DarkHotel”的黑客组织也利用了摩西的零日漏洞。一些网络安全研究人员认为,该组织得到了韩国的资助,但韩国并不是Exodus的客户。“我们非常肯定印度泄露了我们的一些研究结果。我们已经切断了和他们的联系,再没听到任何消息。所以我们的假设是正确的。”布朗说道。
任何类似的零日漏洞泄漏都会令人担忧,Exodus也正试图将零日泄漏的数量控制在每年50个左右。布朗并不是唯一一个看到自己产品被用在意想不到地方的人。意大利零日漏洞开发者卢卡·托代斯科(Luca Todesco)曾在《福布斯》上发表文章,表示在看到iPhone被黑客用来监视中国特定群体后,感到“这是自己从事这一行业所能看到的最糟糕结果”。随着歌研究人员对iPhone被侵展开解释,托代斯科意识到,这家科技巨头介绍的其中一项技术看起来很像他曾经开发并分享给中国联系人的东西。托代斯科否认曾经出售过任何带来攻击行为的代码,但他说自己一直在公开地与多名匿名人士分享其最新发现。他声称不知道自己的代码最终是如何或者为什么被用于攻击性行为的,“如果我知道,就不会分享了。”
这种对漏洞的滥用正是36岁的亚伦•波特诺伊(Aaron Portnoy)最近所担心的。他是Exodu的联合创始人,曾花了10年时间开发可以绕过苹果、谷歌、微软等世界最大公司安全系统的黑客软件。在2015年离开Exodu后,波特诺伊继续为国防巨头雷神公司和总部位于圣地亚哥的“电子战”初创公司Boldend工作。但如今,这位从西北大学辍学、投身网络安全事业并自学成才的黑客担心,他永远不知道谁能访问他的代码,也不知道他们会如何使用这些代码。他现在后悔把“零日漏洞”的管理权交给了销售人员。“这几乎就像我被利用了,感觉就像我是一个被用来实现更大目标的工具,但我没有真正了解这个目标。”波特诺伊表示。他现在在美国马萨诸塞州的网络安全公司Randori工作。
穆苏里斯指出,Exodu切断与印度关系的做法是正确的,当涉及到防止滥用时,买家应该承担更多的责任。布朗则表示,在印度之前,他只将一个客户拉入过黑名单,即一家法国警察机构,当时它使用Exodus服务来针对暗网儿童性侵者的行为遭到了曝光。“不论任何时候,只要我们的数据会被公众,尤其是怀有恶意的人获取,这就是违约。”
Exodu知道其零日漏洞服务可以被当成攻击手段,它本可以选择不卖给印度,特别是该国最近被揭露在全球范围内滥用一种由以色列NSO集团制造的间谍软件。今年早些时候,一个由报纸和非营利组织形成的、名为“飞马项目”(Pegasus Project)的联盟称,印度主要反对党——印度国民大会党(Indian National Congress party)的领袖拉胡尔·甘地(Rahul Gandhi)及其一些亲密助手的电话曾成为攻击目标,导致了印度总理莫迪领导下的政府被控叛国罪。2019年,脸书旗下的软件WhatsApp表示,印度记者和激进人士成为了监控目标,使用的就是NSO的iPhone监控软件。
微软总裁布拉德·史密斯(Brad Smith)曾在今年对全球间谍软件行业构成的潜在危险发出警告,并点名了NSO。他说,行业供应商正在“提升主要的民族和国家攻击者的能力”,并加剧了“网络攻击向有钱却没有人制造武器的其它政府的扩散”。随着印度使用Exodu的服务,人们担心美国公司会让事情变得更糟。《福布斯》曾披露,波士顿风险投资公司Battery曾悄悄帮助推出NSO的竞争对手Paragon。本月早些时候,美国司法部则表示,两家美国公司向阿联酋的一家承包商出售了iPhone入侵软件,每款软件的成本为130万美元,而该承包商当时正在为阿联酋进行间谍活动。据路透社报道,这些iOS漏洞被用于数百个目标,包括卡塔尔埃米尔和也门的一位诺贝尔和平奖得主,同时也是一位人权活动家。
另一方面,美国政府对各种黑客技术也是十分渴求。今年早些时候,两名FBI探员在佛罗里达州被一名恋童癖嫌疑人枪杀,而正是门铃上的摄像头提醒了枪手有执法人员出现。布朗说,在案件发生后,FBI联系了Exodu之类的公司,希望其能够为家庭摄像头等设备提供更好的“监控功能”。布朗还表示,自从许多员工在新冠疫情后重返办公室以来,对智能手机监控工具的需求就在不断激增。