國外間諜軟件發展應用情況淺析

隨著通信技術的飛速發展，傳統的合法監聽技術已經不能滿足獲取目標通信信息的需求，因此推動了間諜軟件越來越廣泛的應用。間諜軟件可以實現諸多目的：竊取設備流量與內容，記錄鍵盤敲擊情況，監控上網記錄，監控上傳及下載內容，接管麥克風或攝像頭，冒充身份發送虛假信息等。與此同時，間諜軟件既可以通過USB接口直接植入目標設備，也可以通過釣魚網站、電子郵件、互聯網廣告、社交媒體或社會工程學遠程植入目標設備。本文從國外典型間諜軟件及其應用、國外間諜軟件有關法律、美國情報機構使用的間諜軟件等方面進行了相關研究。

一、國外典型間諜軟件及其應用

目前，美國、以色列、俄羅斯、德國等發達國家的諸多公司均推出了間諜軟件，間諜軟件被世界某些情報、執法機構廣泛應用。近年來，一些國外間諜軟件公司，如德國FinFisher公司、意大利黑客團隊公司的間諜軟件的應用情況不斷被曝光，引發了世人的高度關注。

早在2013年，加拿大多倫多大學公民實驗室發布報告稱，FinFisher軟件的指令和控制服務器在澳大利亞、巴林、孟加拉、文萊、加拿大、捷克、愛沙尼亞、埃塞俄比亞、德國、印度、印度尼西亞、日本、拉脫維亞、馬來西亞、墨西哥、蒙古、荷蘭、卡塔爾、塞爾維亞、新加坡、土庫曼斯坦、阿聯酋、英國、美國、越南25個國家均得以被發現。

2015年7月6日，意大利黑客團隊公司的400GB內部文件被匿名黑客上傳至互聯網，引發業內一片嘩然。文件顯示，黑客團隊公司向全球36個國家和地區出售間諜軟件。例如，在一些看起來像是客戶名單的文件中，發現了阿塞拜疆、巴林、埃及、埃塞俄比亞、哈薩克斯坦、摩洛哥、尼日利亞、阿曼、沙特阿拉伯、蘇丹等國家，以及美國緝毒署、聯邦調查局和國防部等機構；在一些看起來像是購買合同的文件中，披露了黑客團隊公司分別向埃塞俄比亞、蘇丹的情報機構開具的價值100萬美元和48萬美元的間諜軟件發票。

二、國外間諜軟件有關法律

國外與間諜軟件有關的法律較少，目前已知德國和意大利分別立法進行了規制。德國《聯邦刑事警察法》規定，執法機構在掌握具體偵查線索的前提下，可以向犯罪嫌疑人的計算機發送間諜軟件，以監控犯罪嫌疑人的電子郵件，監聽犯罪嫌疑人網絡電話通話的內容，閱讀嫌疑人在網絡聊天室的聊天記錄等。意大利《刑事訴訟法細則》第226條規定了一種特殊的監聽方式情報預警監聽，執法機構在實施此種監聽時，可利用間諜軟件，但其獲得的全部資料均不得用于刑事訴訟。與此同時，《刑事訴訟法細則》對情報預警監聽的申請與審批、適用的犯罪類別等進行了詳細規定。

此外，在間諜軟件的國際貿易規制方面，2012年以前，一些歐洲國家基于歐盟兩用物品控制目錄中的“類別5A002（密碼學）”來控制間諜軟件的出口。例如，2012年，英國政府開始對英國伽馬國際公司間諜軟件的出口進行管制。目前，間諜軟件的出口由修訂后的歐盟出口管制政策和《瓦森納協定》管制。

三、美國情報機構使用的間諜軟件

自斯諾登事件發生以來，有關美國國家安全局、中央情報局、聯邦調查局等情報機構使用間諜軟件的情況逐漸得到披露。美國情報機構一方面使用國外公司研發的間諜軟件（如聯邦調查局被曝采購意大利黑客團隊公司間諜軟件），另一方面還使用自主開發的間諜軟件。

1.美國國家安全局使用的間諜軟件

2013年12月30日，德國《明鏡》周刊披露了一份長達50頁的ANT產品文件，該文件披露了一個名為ANT的秘密組織為美國國家安全局下屬的“獲取特定情報行動辦公室”（TAO）提供的48種秘密監控技術產品。在這些產品中，可以看出國家安全局所使用的一些間諜軟件，如“源頭”（HEADWATER）和“退學吉普”（DROPPUTJEEP）。

“源頭”是為某公司的路由器而設置的間諜軟件的統稱，美國國家安全局/中央情報局已經在其合作項目中采用間諜軟件對其網絡設備進行入侵。“源頭”的間諜軟件植入器可通過遠程運作中心人員操作，利用互聯網遠程轉移到特定目標路由器。當轉移過程結束時，間諜軟件將通過一個升級指令而植入路由器的引導ROM當中。在系統重新啟動時，間諜軟件就被激活。一旦被激活，遠程運作中心人員就能在間諜軟件捕捉和檢查通過路由器的所有IP包時，對間諜軟件進行控制。

“退學吉普”是植入蘋果手機的間諜軟件，可提供專門的信號情報收集功能。這些功能包括遠程向設備推送文件或取出設備中的文件，以及檢索短信、檢索聯系人列表、獲取語言郵件、獲取地理位置、控制麥克風、控制攝像頭等。控制命令和數據傳輸可以通過短信或者GPRS數據連接進行，所有這些通信將被隱藏和加密。

2.美國中央情報局使用的間諜軟件

2017年3月7日，維基解密（Wiki Leaks）曝光了美國中央情報局代號為“Vault7”的文件，披露了該局從2013年至2016年的大量機密文件以及大批有分量的間諜軟件，包括“哭泣天使”（Weeping Angel）、DerStarke和RickyBobby等。

“哭泣天使”是針對三星智能電視的木馬植入工具組件。該竊聽軟件感染智能電視后，會劫持電視的關機操作，保持程序的后臺運行，讓用戶誤以為已經關機了，之后它會啟動麥克風，開啟錄音功能，然后將錄音內容回傳至中央情報局的后臺服務器。

 DerStarke針對蘋果OSX系統的啟動驅動級（Boot-level）的rookit植入木馬。

 RickyBobby以電影《塔拉德加之夜》中的角色RickyBobby命名，是包含多種DLL攻擊文件和執行腳本的一款間諜軟件，可以實現對目標系統的端口監聽、上傳和下載，以及命令執行等功能。

 3.美國聯邦調查局使用的間諜軟件

 近年來，美國新聞媒體也多次披露了美國聯邦調查局使用的間諜軟件，包括“幻燈”“互聯網通信協議地址校驗器”（CIPAV）等。

“幻燈”是美國聯邦調查局研發的“擊鍵記錄”軟件，它可以通過郵件附件或利用操作系統漏洞進行遠程安裝。聯邦調查局使用“幻燈”時，可以通過嫌疑人所信任的人的名義發送給他，也能通過常見的系統漏洞潛入系統。“幻燈”會自動安裝在他人的計算機上。當嫌疑人使用電子郵件時，程序就會被激活。此時，“幻燈”會記錄計算機的擊鍵情況，并將收集到的加密信息發回聯邦調查局，這樣聯邦調查局人員就可以解密嫌疑人的通信內容。

“互聯網通信協議地址校驗器”可以安裝在嫌疑人計算機上，用以監控嫌疑人的計算機活動。

此外，2015年7月6日意大利黑客團隊公司的被泄露文件顯示，聯邦調查局也購買了該公司的間諜軟件。

（原載于《保密科學技術》雜志2018年10月刊）