[[430230]]

摘要

卡巴斯基在今年早些時(shí)候的報(bào)告中提到，Bitter APT組織針對(duì)中國和巴基斯坦政府和電信實(shí)體的網(wǎng)絡(luò)間諜活動(dòng)，該活動(dòng)2020 年 6 月開始，一直持續(xù)到 2021 年 4 月。

在該活動(dòng)中使用的兩個(gè)0-day漏洞是來自一家名為摩西(Moses)的黑客技術(shù)提供商，該公司的幕后身份是位于德克薩斯州奧斯汀的一家名為 Exodus Intelligence 的公司。

該公司的客戶之一是印度的Bitter APT組織，該公司向印度提供零日漏洞研究資料，印度將其武器化，并應(yīng)用在網(wǎng)絡(luò)間諜攻擊當(dāng)中，Exodus在發(fā)現(xiàn)印度非常規(guī)使用其技術(shù)后，與其切斷業(yè)務(wù)聯(lián)系。

另外，Exodus公司的零日漏洞資料似乎被印度泄露或?yàn)E用，卡巴斯基表示，除了已經(jīng)披露被利用的兩個(gè)零日漏洞外，摩西公司制造的至少六個(gè)漏洞在過去兩年中已經(jīng)遭到濫用，例如DarkHotel組織就曾利用過摩西的零日漏洞。

其中一個(gè)0Day漏洞(CVE-2021-1732)被安恒在在野攻擊中捕獲。

美國Exodus Intelligence公司的攻擊技術(shù)遭印度政府濫用

今年早些時(shí)候，俄羅斯卡巴斯基網(wǎng)絡(luò)安全公司的研究人員，分析了一起針對(duì)中國和巴基斯坦政府和電信實(shí)體的 Microsoft Windows PC 的網(wǎng)絡(luò)間諜活動(dòng)。

該活動(dòng)從 2020 年 6 月開始，一直持續(xù)到 2021 年 4 月。引起研究人員注意的是間諜活動(dòng)中所使用的黑客軟件，被Bitter APT組織所使用。其惡意代碼在各個(gè)方面看起來像之前卡巴斯基防病毒提供商之前報(bào)告披露到的一些內(nèi)容相似，并歸因于一家名為“摩西(Moses)”的公司。

卡巴斯基表示，摩西是一個(gè)神秘的黑客技術(shù)提供商，被稱為“零日漏洞利用經(jīng)紀(jì)人”。這些公司在價(jià)值 1300 億美元網(wǎng)絡(luò)安全行業(yè)中運(yùn)營著一個(gè)利益市場(chǎng)，對(duì)客戶提供一種“漏洞利用”的軟件(也可以通過被稱為“0-day”(零日))，其允許攻擊者入侵未修補(bǔ)漏洞的計(jì)算機(jī)，這些漏洞就像超級(jí)強(qiáng)力的開鎖工具。這些技術(shù)人員在操作系統(tǒng)或應(yīng)用程序中尋找漏洞，以方便讓黑客或間諜侵入目標(biāo)。

這些漏洞利用極其罕見，提供單個(gè)漏洞可賺取超過 200 萬美元的漏洞賞金。而使用這些0-day漏洞的買家則可以保護(hù)自己免受相關(guān)0-day漏洞的侵害，或者利用該漏洞對(duì)他人造成傷害。

例如，在 2020 年針對(duì)SolarWinds軟件提供商及其許多客戶(從美國政府部門到思科和微軟等科技巨頭)的攻擊中，攻擊者至少使用了一個(gè)0-day漏洞。本次攻擊使 SolarWinds公司損失了至少 1800 萬美元，如果算上同樣受到攻擊的 SolarWinds 客戶的成本，那么總體數(shù)字可能會(huì)達(dá)到數(shù)百億美元。

有時(shí)，美國公司不是受害者，反而是助長數(shù)字間諜活動(dòng)盛行的協(xié)助者。據(jù)兩位了解卡巴斯基研究的消息人士透露，福布斯了解到，摩西公司的身份是位于德克薩斯州奧斯汀的一家名為 Exodus Intelligence 的公司。一位消息人士補(bǔ)充說，摩西的其中一位客戶是位于印度的 Bitter APT組織。

Exodus在網(wǎng)絡(luò)安全和情報(bào)領(lǐng)域之外鮮為人知，在過去十年中，Exodus 憑借《時(shí)代》雜志的封面故事和執(zhí)法部門用來破解匿名瀏覽器 Tor以誘捕針對(duì)兒童實(shí)施性犯罪的人員的工具而聲名鵲起。

它還聲稱與國防部研究機(jī)構(gòu) Darpa 以及思科和 Fortinet 等主要科技公司建立了合作伙伴關(guān)系，后者是一家價(jià)值 26 億美元(2020 年銷售額)的網(wǎng)絡(luò)安全機(jī)構(gòu)。

Exodus 在被五眼聯(lián)盟國家(包括美國、英國、加拿大、澳大利亞和新西蘭在內(nèi)的情報(bào)共享國家聯(lián)盟)或其盟友詢問時(shí)，將提供有關(guān)零日漏洞的信息和利用所需的軟件。該公司的主要產(chǎn)品是提供零日漏洞的相關(guān)信息，供客戶進(jìn)行定制化操作，價(jià)格高達(dá)每年 250,000 美元。

客戶可以利用 Exodus 提供的零日漏洞信息進(jìn)行任意操作，這些漏洞信息通常涵蓋所有流行的操作系統(tǒng)，包括從 Windows 到谷歌的 Android 和蘋果的 iOS系統(tǒng)。

37 歲的 Exodus 首席執(zhí)行官兼聯(lián)合創(chuàng)始人 Logan Brown 說，印度購買了這種產(chǎn)品，并且很可能已經(jīng)將其武器化。他告訴福布斯，他認(rèn)為印度從中精心挑選了一個(gè)允許深入訪問微軟操作系統(tǒng)的Windows 漏洞,并由印度政府人員或承包商將其改編為惡意攻擊手段。

Brown說，Exodus公司隨后在 4 月份停止印度購買其新的零日漏洞研究，并與微軟合作修補(bǔ)漏洞。Brown說，盡管 Exodus 并沒有限制客戶對(duì)其研究結(jié)果的使用，但印度對(duì)他公司關(guān)于零日漏洞的研究使用是出格的，并補(bǔ)充說：“你可以用來攻擊別人，但你不能將其作為工具攻擊巴基斯坦和中國。”(印度駐倫敦大使館沒有回應(yīng)置評(píng)請(qǐng)求。)

該公司還研究了卡巴斯基歸因于摩西的第二個(gè)漏洞，這是另一個(gè)允許黑客在 Windows 計(jì)算機(jī)上獲得更高權(quán)限的漏洞。它與任何特定的間諜活動(dòng)無關(guān)，但Brown證實(shí)該漏洞來自他們公司的研究。

Brown 目前也在調(diào)查其代碼是否被他人泄露或遭到濫用。據(jù)卡巴斯基稱，除了已經(jīng)被濫用的兩個(gè)​​零日漏洞之外，摩西公司制造的至少六個(gè)漏洞在過去兩年中已經(jīng)遭到濫用。

根據(jù)卡巴斯基的說法，另一個(gè)名為 DarkHotel 的黑客團(tuán)隊(duì)(一些研究人員認(rèn)為該組織由韓國贊助)使用了摩西的零日漏洞，盡管韓國不是 Exodus 的客戶。Brown 說：“我們很確定印度泄露了我們的一些研究，自那以后我們切斷了印度業(yè)務(wù)，并從那時(shí)起就再也沒有聽到任何消息。”

任何此類零日漏洞泄漏事件都特別令人擔(dān)憂，該公司試圖控制每年大約 50 個(gè)零日漏洞，這些漏洞涵蓋世界上最流行的操作系統(tǒng)，從 Windows 到 Android 再到 Apple 的 iOS。

Brown并不是唯一一個(gè)看到他的研究以他不想看到的方式遭到使用的人。Luca Todesco 是意大利零日漏洞開發(fā)者，去年在看到黑客利用iPhone漏洞監(jiān)視敏感人群(少數(shù)人受到威脅)后，他在推特上說“我從我的工作中看到最糟糕的結(jié)果”。

在谷歌研究人員詳細(xì)介紹了遭到iPhone 黑客的攻擊活動(dòng)后，Todesco意識(shí)到，這家科技巨頭詳細(xì)介紹的其中一項(xiàng)技術(shù)看起來很像他開發(fā)并與聯(lián)系人分享的東西。在 Twitter 上發(fā)布的消息中，Todesco 否認(rèn)他曾出售任何被用于攻擊的代碼，但他表示已與多個(gè)不知名的人公開分享他的發(fā)現(xiàn)。

他聲稱他不知道他的代碼如何或?yàn)槭裁幢挥糜诠裘舾腥巳?，他補(bǔ)充說：“如果我知道，我會(huì)避免分享。”他將在共同創(chuàng)立的一家新意大利公司 Dataflow Security 中繼續(xù)開發(fā)漏洞利用。

[[430231]]

(Exodus Intelligence 前聯(lián)合創(chuàng)始人 Aaron Portnoy 現(xiàn)在致力于更多防御性技術(shù)。他的上家公司現(xiàn)在正在調(diào)查其黑客工具是否泄露)

Exodus的聯(lián)合創(chuàng)始人 Aaron Portnoy 最擔(dān)心這種情況發(fā)生。Portnoy 花了十年時(shí)間開發(fā)可以繞過世界上最大的公司(蘋果、谷歌、微軟)的安全性黑客軟件。

當(dāng) Portnoy 于 2015 年離開 Exodus 時(shí)，他繼續(xù)為國防巨頭Raytheon公司和一家位于圣地亞哥的“electronic warfare”初創(chuàng)公司工作。但是今天，這位 36 歲的自學(xué)成才的黑客從黑客從Northwestern大學(xué)退學(xué)，并開始了自己的網(wǎng)絡(luò)安全職業(yè)生涯，他擔(dān)心他永遠(yuǎn)不知道誰可以訪問他的代碼或他們?nèi)绾问褂眠@些代碼。他現(xiàn)在后悔將他的零日漏洞控制權(quán)交給銷售人員。

Aaron Portnoy說：“我感覺我被利用了，這就像我是一個(gè)被用于更大目的的工具，我缺乏洞察力。現(xiàn)在，Portnoy在馬薩諸塞州的Randori網(wǎng)絡(luò)安全公司工作。

Moussouris 說，Exodus 切斷印度的業(yè)務(wù)是正確的，在防止濫用方面，買家有著更多的責(zé)任。Brown說，他在Exodus的黑客技術(shù)被曝光后，不得不與另一個(gè)客戶(法國警察機(jī)構(gòu))斷絕關(guān)系，該機(jī)構(gòu)將其黑客技術(shù)用來鎖定對(duì)兒童實(shí)施犯罪的人員。

Brown補(bǔ)充說："任何時(shí)候我們的數(shù)據(jù)被公眾接觸到，特別是惡意行為者，都是一種違約行為。Brown、Portnoy和另一位Exodus聯(lián)合創(chuàng)始人曾在零日計(jì)劃(Zero Day Initiative)工作過，Exodus的顧問和創(chuàng)始人佩德拉姆-阿米尼(Pedram Amini)說，該公司在十年內(nèi)僅與兩個(gè)客戶切斷業(yè)務(wù)關(guān)系的記錄令人印象深刻。阿米尼補(bǔ)充說，他對(duì)Exodus在審查客戶時(shí)的流程感到滿意。并補(bǔ)充說：“如果公司與沙特人合作，我根本不會(huì)進(jìn)入這家公司。”

[[430232]]

(關(guān)于 NSO Group 軟件正在世界各地針對(duì)活動(dòng)家、記者和政治家的 iPhone 攻擊活動(dòng)和相關(guān)指控，導(dǎo)致人們提高對(duì)跨境電話和 PC 監(jiān)控的認(rèn)識(shí)和警覺)

Brown的公司知道自己的零日軟件可以被用于攻擊，因此可以選擇不向印度政府出售，這個(gè)國家在最近被指控濫用以色列NSO集團(tuán)制造的間諜軟件。

今年早些時(shí)候，一個(gè)名為 "飛馬計(jì)劃 "的報(bào)紙和非營利組織聯(lián)盟聲稱，反對(duì)派印度國大黨領(lǐng)導(dǎo)人拉胡爾-甘地及其一些親信的電話被監(jiān)視了，導(dǎo)致對(duì)總理納倫德拉·莫迪的政府提出叛國指控。(政府否認(rèn)發(fā)生過任何未經(jīng)授權(quán)使用間諜軟件的情況。)

2019年，F(xiàn)acebook旗下的WhatsApp表示，印度記者和活動(dòng)人士被NSO的iPhone監(jiān)控軟件鎖定為目標(biāo)。多倫多大學(xué)蒙克學(xué)院公民實(shí)驗(yàn)室(Citizen Lab)高級(jí)研究員約翰-斯科特-雷爾頓(John Scott-Railton)說："向印度政府出售可用于攻擊性目的的技術(shù)，將會(huì)陷入一種可能會(huì)助長這種濫用的局面發(fā)生。" 同樣，Todesco可以選擇對(duì)他的發(fā)現(xiàn)保密，而不是與聯(lián)系人分享。

今年早些時(shí)候，微軟總裁布拉德-史密斯對(duì)全球間諜軟件行業(yè)所帶來的危險(xiǎn)發(fā)出警告，并點(diǎn)名批評(píng)了NSO。他說，行業(yè)供應(yīng)商正在將更多的攻擊能力交給民族國家攻擊者，并加劇了網(wǎng)絡(luò)攻擊向其他政府的擴(kuò)散，這些政府有錢但沒有資源制造自己的武器。

隨著印度出格使用這種技術(shù)的情況發(fā)現(xiàn)，人們擔(dān)心美國人正在使事情變得更加糟糕。福布斯今年早些時(shí)候披露，總部設(shè)在波士頓的風(fēng)險(xiǎn)投資公司Battery曾悄悄幫助NSO的競(jìng)爭(zhēng)對(duì)手Paragon公司。

本月早些時(shí)候，司法部披露兩家美國公司向阿聯(lián)酋的一家承包商出售了iPhone黑客軟件--每個(gè)工具的成本為130萬美元，該承包商正在為阿聯(lián)酋進(jìn)行間諜活動(dòng)。

據(jù)路透社報(bào)道，這些iOS漏洞被用于數(shù)百個(gè)目標(biāo)，包括卡塔爾的埃米爾和也門的一名諾貝爾和平獎(jiǎng)人權(quán)活動(dòng)家。我們需要了解美國在私人進(jìn)攻市場(chǎng)中扮演著什么樣的角色，斯科特-雷爾頓補(bǔ)充說。

美國政府渴望各種技術(shù)以進(jìn)行黑客攻擊。Brown說，在一些案件發(fā)生后，聯(lián)邦調(diào)查局聯(lián)系了Exodus公司，說它希望為家庭攝像頭等設(shè)備提供更好的 "監(jiān)控能力"。Brown補(bǔ)充說，由于今年夏天，許多機(jī)構(gòu)工作人員隨著科維德事件后的重新開放而返回辦公室，因此需求激增，特別是對(duì)智能手機(jī)監(jiān)控工具的需求。