刑偵間諜軟體 被用來對付異見分子

http://cn.nytimes.com/article/world/2012/09/03/c03spyware/

2012年09月03日 NICOLE PERLROTH 報導

摩根·馬奎斯-波義耳（左）與比爾·馬爾恰克一直在關注政府對電腦間諜軟體的應用。

三藩市——摩根·馬奎斯-波義耳(Morgan Marquis-Boire)是谷歌(Google)的一名工程師，而比爾·馬爾恰克(Bill Marczak)正在攻讀電腦科學博士學位。但今年夏天，兩個人卻一直在當兼職偵探，從巴林起步橫跨五大洲，追蹤一種難以探測的監控工具。

他們發現，一些有著不良人權記錄的國家，正在廣泛使用一款現成的複雜電腦間諜軟體。儘管這款軟體的銷售用途應當僅限於刑事偵查，但兩個人有證據證明，該軟體正在被用來針對政治異見分子。

Hasan Jamali/Associated Press

8月，悼念者高呼反政府口號，護送被安全部隊殺害的16歲巴林抗議者的遺體。

該軟體就仿佛來自一部間諜電影：它可以抓取電腦螢幕截圖、記錄Skype聊天、打開攝像頭和麥克風，並記錄按鍵動作。這兩個人說，他們發現這種軟體的手機版本，已經對所有主流手機平臺進行過定制。

但是此軟體尤其高明的一點是，它能出色地避過檢測。它的創造者對其進行了特殊的設計，使它能夠躲過卡巴斯基實驗室(Kaspersky Lab)、賽門鐵克(Symantec)、F-Secure和其他反病毒軟體。

該軟體名為FinSpy，它是一種較難探測的間諜軟體工具，正在不斷增長的非定制電腦監控技術市場上出售，賦予各國政府開展複雜的插件式監控行動的手段。研究發現，該軟體現在連接到了位於十多個國家的伺服器上，這些國家包括土庫曼斯坦、汶萊和巴林，儘管沒有任何國家的政府承認將該軟體用於監控。

這種技術的市場“10年前還不存在”，但現在已經發展到年營業額50億美元的規模，TeleStrategies公司總裁傑里·盧卡斯(Jerry Lucas)表示。該公司是世界情報支援系統展覽(ISS World)的主辦方，在這個年度監控系統展會上，執法人員們可以瞭解最新的電腦間諜軟體。

FinSpy由英國公司伽馬集團(Gamma Group)開發。該公司稱，它將監控軟體賣給政府時，僅限用於刑事偵查。

“這種軟體具有雙重用途，”電子前沿基金會(Electronic Frontier Foundation)的伊娃·加爾佩林(EvaGalperin)說道。“如果你把它賣給一個遵循法治的國家，他們就可以將其用於執法；如果你賣給的是一個法治觀念不那麼強的國家，它就會被用來監控記者和異見人士。”電子前沿基金會是一家關注互聯網公民自由的團體。

直到馬奎斯-波義耳和馬爾恰克在去年5月偶然發現FinSpy之前，安全研究人員曾用一年時間嘗試追蹤，但並未成功。在2011年3月，抗議者衝入埃及國家安全部門的總部後，發現了一份似乎是商業提案的檔，檔顯示伽瑪集團曾以35.3萬美元的價格向胡斯尼·穆巴拉克(Hosni Mubarak)政府兜售FinSpy系統。此事件使得FinSpy聲名狼藉，目前尚不清楚，雙方當時是否完成了這一交易。

伽馬集團董事總經理馬丁·J·明奇(Martin J. Muench)表示，該公司不會透露客戶資訊。他在一封電子郵件中說，伽馬集團賣給政府的FinSpy只用來監控犯罪，最常用於“打擊戀童癖、恐怖分子、有組織犯罪、綁架和販賣人口”。

今年32歲的馬奎斯-波義耳住在三藩市，24歲的馬爾恰克住在加利福尼亞州伯克利。今年5月兩人自發對一些發送給三名巴林(Bahrain)活動人士的可疑電子郵件進行分析。他們發現，所有的電子郵件中都包含間諜軟體，這些軟體都向同一台位於巴林的指揮控制伺服器發回資料。這三位元活動人士都沒有過任何犯罪記錄，而這種明顯是使用間諜軟體監控巴林活動人士的做法，顯示出該軟體的用途已經變得更加廣泛。巴林已經因侵犯人權受到了越來越多的批評。8月，一名16歲的巴林抗議者遇害，活動人士稱，他死於安全部隊的殘暴襲擊，但巴林政府則表示，安全部隊的行為是自衛。

兩人的發現在業內人士看來並不令人驚訝。奧巴馬總統的前網路安全高級主管薩米爾·巴羅特拉(Sameer Bhalotra)說，“用於突破網路系統的攻擊工具很明顯變得更容易獲得了。這些工具曾一度屬於黑市及情報機構，現在卻變得越來越普及。問題是，只需要很小的修改，就能將監控工具用於攻擊。而在這起個案當中，異見人士似乎成了目標。”巴羅特拉現在擔任電腦安全公司Impermium的首席運營官。

從研究發現公佈以來，其他研究人員，以及懷疑自己成為攻擊目標的活動團體，就開始向馬奎斯-波義耳和馬爾恰克提交惡意軟體樣本。在幾個案例中，兩人發現惡意軟體樣本向伽馬集團運營的網站發回資料。而另一些樣本似乎是在為其他國家的政府積極窺探情報。

位於波士頓的Rapid7公司的另一組研究人員在互聯網上廣泛搜尋該軟體的連接，發現它還在另外10個國家運行。實際上，這款惡意軟體曾在亞馬遜(Amazon.com)的雲存儲伺服器EC2上運行。亞馬遜沒有對要求作出澄清的請求予以回應，不過馬爾恰克和馬奎斯-波義耳說，該伺服器似乎是用於掩蓋流量的代理伺服器。

馬奎斯-波義耳說，位於土庫曼斯坦的一台運行該軟體的伺服器，屬於專門分配給該國通信部的IP地址段。這是一國政府在其電腦系統中運行這款間諜軟體的第一個證據確鑿的案例。

伽馬集團不願確認曾向土庫曼斯坦銷售軟體。土庫曼斯坦駐華盛頓大使館的一位武官也拒絕發表評論。

過去兩個月裏，明奇一再否認研究人員鎖定了該公司的間諜軟體，不過週三他卻突然改口。

在研究人員公佈最新的研究發現後的一個小時內，明奇便發佈聲明，稱伽馬集團的伺服器遭到入侵，若干演示版本的FinSpy軟體副本被竊取。

馬爾恰克稱，週四下午，若干台FinSpy伺服器開始消失。位於新加坡、印尼、蒙古和汶萊的伺服器關機，而位於巴林的一台伺服器短暫關閉後，又在另一個地點重新啟動。

翻譯：林蒙克、王童鶴