情境示意圖,圖片取自freestocks on Unsplash

就在美國宣布將針對散布間諜軟體的個人進行簽證限制的隔天,Google出版了長達30項的《Buying Spying》報告,公開商業間諜軟體產業的運作。

Google威脅分析小組(Threat Analysis Group,TAG)長期以來追蹤全球約40家商業監控供應商(Commercial Surveillance Vendors,CSV),這些供應商負責提供付費服務及工具,整合了用來繞過各種安全機制的攻擊鏈,同時供應間諜軟體及必要的基礎設施,以蒐集目標對象的資料。

這些CSV的主要客戶為各國政府,攻擊對象則涵蓋記者、人權捍衛者、異議份子與政治對手,它們之所以引起Google TAG的注意,最大因素可能來自於CSV所利用的零時差漏洞,有一半是針對Google產品與Android系統。

根據TAG的統計,自2014年以來,在波及Google產品的72個零時差漏洞中,有35個源自於各家CSV,而且這是個保守估計,TAG相信這些CSV所利用的零時差漏洞一定更多,只是尚未被發現。

TAG指出,倘若各國政府曾經獨占了最尖端的技術,那麼那個時代已然結束,因為TAG現在所發現的最先進的攻擊工具中,絕大多數都是來自於這些私人的商業監控供應商,光是在2023年所發現的25個已遭攻擊的零時差漏洞,便有20個源自CSV。

與尋常的軟體產業一樣,CSV採用了不同的方法於間諜軟體市場中保持競爭力,它們建立關係以向政府客戶提供間諜軟體,並藉由專業性、協作或收購來提供有競爭力的產品。

TAG於報告中描述了Cy4Gate與RCS Lab、Intellexa、Negg Group、NSO Group及Variston等CSV業者的操作手法,包括它們如何宣傳與交付自家的間諜軟體產品,報告中也採訪了曾受到攻擊的受害者。

其中,2014年於義大利創立的Cy4Gate開發了鎖定Android與iOS平臺的Epeius間諜軟體,使用至少3個Android零時差漏洞,並在2022年收購了同樣位於義大利的RCS Lab,成立於1993年的RCS Lab宣稱可提供高度可靠的電子監控解決方案,並開發與銷售名為Hermit的間諜軟體。儘管已合併,但Cy4Gate與RCS Lab仍保持獨立運作,以各自的產品替不同的客群提供服務。

最後,Google則呼籲,只要各國政府擁有購買商業監控技術的需求,該產業便會持續茁壯,繼續開發及銷售間諜軟體,而現在應該是政府、產業及民間社會共同改變其結構的時候了,以免相關技術進一步地蔓延。

熱門新聞

Advertisement