在網(wǎng)絡(luò)技術(shù)還未普及的時(shí)代，提供監(jiān)視服務(wù)的相關(guān)行業(yè)就已經(jīng)存在，多年來(lái)一直持續(xù)演變中。從最初利用人工安裝物理硬件竊聽(tīng)，到如今利用間諜軟件收集數(shù)據(jù)，其間的技術(shù)手段發(fā)生了驚人的巨變。商業(yè)間諜軟件逐漸演變成為了一個(gè)復(fù)雜、低調(diào)、國(guó)際化、利潤(rùn)回報(bào)豐厚的產(chǎn)業(yè)。

在如今這個(gè)信息爆炸的時(shí)代，商業(yè)間諜軟件的存在與活躍程度愈發(fā)引人關(guān)注。這些隱匿于數(shù)字暗流中的惡意工具，像無(wú)聲無(wú)息的“幽靈”一般，悄然滲透到企業(yè)的核心數(shù)據(jù)中，窺探著商業(yè)機(jī)密，對(duì)商業(yè)生態(tài)構(gòu)成了嚴(yán)重威脅。

商業(yè)間諜軟件日益猖獗不僅體現(xiàn)在其技術(shù)手段的不斷升級(jí)，更在于其背后的利益驅(qū)動(dòng)和市場(chǎng)需求。

根據(jù)谷歌今年上半年發(fā)布的"購(gòu)買(mǎi)間諜軟件"報(bào)告，商業(yè)間諜軟件市場(chǎng)正在迅速增長(zhǎng)，數(shù)十家企業(yè)和大量資本涌入，對(duì)全球互聯(lián)網(wǎng)安全和公民自由構(gòu)成重大威脅。

據(jù)報(bào)告顯示，近年來(lái)為監(jiān)控部分個(gè)人群體，全球各國(guó)政府推動(dòng)了商業(yè)間諜軟件供應(yīng)商(CSV)市場(chǎng)的高速增長(zhǎng)，越來(lái)越多的網(wǎng)絡(luò)武器經(jīng)紀(jì)人涌入這一市場(chǎng)。

在2014年年中至2023年年底近十年期間，谷歌產(chǎn)品中72個(gè)已知零日漏洞中有35個(gè)都是商業(yè)間諜軟件供應(yīng)商挖掘的。去年，谷歌TAG研究人員觀察到攻擊者在野外利用的25個(gè)零日漏洞中，商業(yè)間諜軟件供應(yīng)商就占了20個(gè)。

此前也有不少軟件供應(yīng)商曾公開(kāi)斥巨資購(gòu)買(mǎi)零日漏洞，比如2023年9月底，俄羅斯Operation Zero就曾宣布將發(fā)現(xiàn)主流移動(dòng)平臺(tái)零日漏洞的報(bào)酬從20萬(wàn)美元提高到2000萬(wàn)美元（約合人民幣1.46億元），用于購(gòu)買(mǎi)黑客工具，幫助該公司的客戶(hù)入侵iPhone和安卓設(shè)備。

今年4月，Crowdfense公司宣布啟動(dòng)Exploit Acquisition Program，斥資3000萬(wàn)美元（當(dāng)前約2.17億元人民幣）購(gòu)買(mǎi)各種手機(jī)、軟件等主流產(chǎn)品的零日漏洞。其中：

• 針對(duì)iOS的零點(diǎn)擊攻擊鏈漏洞采購(gòu)價(jià)格為500-700萬(wàn)美元
• 針對(duì)安卓的零點(diǎn)擊攻擊鏈漏洞采購(gòu)價(jià)格為500萬(wàn)美元
• 針對(duì)iOS的RCE + SBX漏洞為350萬(wàn)美元
• 針對(duì)Chrome瀏覽器的RCE + SBX漏洞為200-300萬(wàn)美元
• 針對(duì)SMS/MMS全鏈零點(diǎn)擊的零日漏洞支付價(jià)格高至900萬(wàn)美元

零日漏洞因具有突發(fā)性、破壞力強(qiáng)、防范難度大，攻擊效果高等多重因素而導(dǎo)致價(jià)格十分高昂。市面上被軟件商高價(jià)采購(gòu)的零日漏洞，除了有部分是用于提早防范的作用外，其余不少都被間諜軟件用于發(fā)動(dòng)攻擊等惡意行為。正是因?yàn)檫@類(lèi)市場(chǎng)能夠創(chuàng)造巨大的經(jīng)濟(jì)利益，才使得這類(lèi)灰產(chǎn)至今無(wú)法根除。

這些年，除了供應(yīng)商數(shù)量在激增之外，間諜軟件的供應(yīng)鏈也在迅速發(fā)展，例如專(zhuān)門(mén)開(kāi)發(fā)零日漏洞的專(zhuān)業(yè)團(tuán)隊(duì)，以及幫助政府和執(zhí)法部門(mén)選擇和部署間諜軟件的咨詢(xún)公司也在近年來(lái)如“雨后春筍般”涌現(xiàn)。

間諜軟件正在泛濫，花樣繁多且防不勝防

商業(yè)間諜軟件的竊取方式多種多樣，且往往隱蔽而難以察覺(jué)。

想象一下，當(dāng)你在電腦前忙碌地工作時(shí)，一雙無(wú)形的眼睛可能正在窺視著你的屏幕，記錄你的每一個(gè)鍵盤(pán)敲擊，竊取你的商業(yè)計(jì)劃、客戶(hù)信息和財(cái)務(wù)數(shù)據(jù)。又或者，當(dāng)你沉浸在手機(jī)的社交媒體世界中時(shí)，一個(gè)看似無(wú)害的應(yīng)用程序可能正在悄悄收集你的位置信息、聯(lián)系人列表和瀏覽習(xí)慣......這些商業(yè)間諜軟件精通偽裝和隱藏技巧。它們的竊取方式多種多樣，令人防不勝防。

飛馬：曾被曝監(jiān)聽(tīng)5萬(wàn)人，涉及多國(guó)政要

“飛馬”間諜軟件是由以色列科技公司NSO集團(tuán)開(kāi)發(fā)的手機(jī)監(jiān)控軟件，可以通過(guò)遠(yuǎn)程控制，隱蔽地安裝在蘋(píng)果和安卓手機(jī)等設(shè)備上，并輕松截取手機(jī)里的各類(lèi)訊息，包括讀取用戶(hù)短信、跟蹤通話、收集密碼、追蹤位置，圖片、視頻、電郵內(nèi)容，訪問(wèn)目標(biāo)設(shè)備的攝像頭甚至可以秘密開(kāi)啟麥克風(fēng)進(jìn)行實(shí)時(shí)錄音。該軟件功能十分強(qiáng)大，被稱(chēng)為有史以來(lái)最先進(jìn)的“軍事級(jí)間諜程序”。

2011年，NSO推出了“飛馬”第一版，希望借助這個(gè)強(qiáng)大的新工具，迅速在西方國(guó)家建立起穩(wěn)定的客戶(hù)群，一經(jīng)推出就受到了廣泛關(guān)注。

起初，“飛馬”軟件會(huì)向用戶(hù)發(fā)送一條惡意的鏈接，用戶(hù)只要一點(diǎn)擊就會(huì)“中招”。但據(jù)調(diào)查部門(mén)專(zhuān)家介紹，這款“飛馬”軟件現(xiàn)在已經(jīng)升級(jí)——不用釣魚(yú)網(wǎng)址，照樣能對(duì)目標(biāo)對(duì)象實(shí)施各項(xiàng)有針對(duì)性的間諜活動(dòng)，其跟蹤、監(jiān)聽(tīng)和間諜滲透的“全面能力”。

圖源：央視新聞

據(jù)悉，這款軟件曾被用來(lái)秘密監(jiān)控國(guó)家元首、皇室成員、政商要人和部分記者的手機(jī)，受到監(jiān)控的電話號(hào)碼或多達(dá)5萬(wàn)個(gè)。

NSO美國(guó)子公司制作的“飛馬”宣傳彩頁(yè)，圖源網(wǎng)絡(luò)

這些號(hào)碼涉及一些國(guó)家的政要、媒體人士、社會(huì)活動(dòng)家，其中約1.5萬(wàn)個(gè)號(hào)碼來(lái)自墨西哥，其他號(hào)碼的客戶(hù)還包括阿塞拜疆、巴林、匈牙利、印度、哈薩克斯坦、墨西哥、摩洛哥、盧旺達(dá)、多哥、沙特和阿聯(lián)酋等。名單上的一些電話號(hào)碼沒(méi)有標(biāo)出姓名，但英國(guó)廣播公司的記者能夠識(shí)別名單上50個(gè)國(guó)家的1000多人，其中包括數(shù)名阿拉伯王室成員、至少65名企業(yè)高管、85名著名人權(quán)活動(dòng)人士，還有《金融時(shí)報(bào)》等189名媒體記者，600多名政治家和政府官員，甚至幾名國(guó)家元首和總理 。

FinSpy：曾涉及20個(gè)國(guó)家的i0S和Android用戶(hù)

FinSpy是由德國(guó)Gamma Group公司制造的間諜軟件，通過(guò)其在英國(guó)的子公司Gamma Group Internatonal向全球的政府和執(zhí)法機(jī)構(gòu)出售被用于在各類(lèi)平臺(tái)上收集用戶(hù)的私人信息。

據(jù)遙測(cè)數(shù)據(jù)顯示，有幾十種類(lèi)型的移動(dòng)設(shè)備都遭到過(guò)FinSpy的感染，而最近一次活動(dòng)記錄是在緬甸。

此前，卡巴斯基研究了最新版本的FinSpy植入程序，主要是i0S和Android版本，兩者在功能上幾乎是相同的，都能夠收集個(gè)人詳細(xì)教據(jù)，如聯(lián)系人、短信彩信、電子郵件、日歷、GPS定位、照片、內(nèi)存中的文件、電話錄音和當(dāng)前一些流行的通訊軟件的數(shù)據(jù)。

據(jù)悉，F(xiàn)inSpy應(yīng)用程序由FinSpy代理控制，默認(rèn)情況下，所有植入程序都連接到Gamma Group提供的FinSpy匿名代理，也稱(chēng)為FinSpy Relays，這樣做是為了隱藏FinSpy Master的真實(shí)位置。

一旦受感染的目標(biāo)系統(tǒng)在線顯示，它就會(huì)向FinSpy代理發(fā)送提示，F(xiàn)inSpy代理轉(zhuǎn)發(fā)目標(biāo)與主服務(wù)器之間的連接。FinSpy主服務(wù)器則管理所有目標(biāo)和代理并存儲(chǔ)數(shù)據(jù)。

Gamma Group在FinSpy產(chǎn)品中還提供了各種配置功能，這也使得FinSpy終端的操作人員能夠針對(duì)特定受害者定制惡意行為并進(jìn)行監(jiān)視，還能清除自身的敏感數(shù)據(jù)，例如GPS位置、聯(lián)系人、呼叫信息、通訊軟件和設(shè)備間的數(shù)據(jù)等。

自2014年FinSpy曝光以來(lái)，Gamma Group已經(jīng)多次重建其核心部分，同時(shí)還擴(kuò)展了更多支持功能。例如，支持的即時(shí)誦訊軟件列表已經(jīng)大大擴(kuò)展，并改進(jìn)了加密和混淆功能，使之更難以分析檢測(cè)。多年來(lái)的不斷更新，更加穩(wěn)固了FinSpy在間諜軟件市場(chǎng)中的地位。

據(jù)統(tǒng)計(jì)，這些年來(lái)已有近20個(gè)國(guó)家曾檢測(cè)到FinSpy的在野最新版本。且由于其隸屬的Gamma Group公司客戶(hù)群體規(guī)模極為龐大，因此預(yù)估全球遭遇過(guò)起間諜軟件攻擊的受害者實(shí)際數(shù)量可能遠(yuǎn)高于目前公開(kāi)披露的數(shù)字。

DevilsTongu：一旦部署成功可完全訪問(wèn)受感染設(shè)備

2021年7月15日，微軟發(fā)布了對(duì)Candiru公司W(wǎng)indows平臺(tái)間諜軟件的相關(guān)分析報(bào)告，并將其稱(chēng)為DevilsTongue。

DevilsTongue是Windows 平臺(tái)的間諜軟件，其一旦部署到目標(biāo)的 Windows 系統(tǒng)中，即可完全訪問(wèn)受感染設(shè)備，DevilsTongue還具備多種功能，包括收集和竊取受害者的文件，解密和竊取Windows設(shè)備上的Signal信息，并從LSASS和Chrome、Internet Explorer、Firefox、Safari和Opera網(wǎng)絡(luò)瀏覽器中竊取cookies和保存的密碼。

此外，它還可以利用存儲(chǔ)在受害者電腦上的Facebook、Twitter、Gmail、Yahoo、http://Mail.ru、Odnoklassniki和Vkontakte等網(wǎng)站的cookie來(lái)獲取敏感信息，比如讀取受害者的消息，竊取照片等。

據(jù)悉，DevilsTongue一般是通過(guò)誘騙受害者訪問(wèn)托管著exploit的網(wǎng)站進(jìn)行部署，該exploit濫用瀏覽器漏洞將DevilsTongue植入到受害者設(shè)備上，隨后濫用第二階段的 Windows exploit 為運(yùn)營(yíng)人員獲得管理員級(jí)別的訪問(wèn)權(quán)限。DevilsTongue感染了100名來(lái)自世界各地的政客, 人權(quán)捍衛(wèi)者, 積極分子, 記者, 學(xué)者, 大使館和持不同政見(jiàn)者，這些受害者位于巴勒斯坦、以色列、伊朗、黎巴嫩、也門(mén)、西班牙、英國(guó)、土耳其、亞美尼亞和新加坡等多個(gè)國(guó)家。

另外，DevilsTongue還可以在一些網(wǎng)站上以受害者的身份發(fā)送信息，并且發(fā)送信息的能力可以被武器化，以向更多的受害者發(fā)送惡意鏈接。

據(jù)統(tǒng)計(jì)，全球商業(yè)間諜軟件行業(yè)每年的利潤(rùn)增長(zhǎng)率約為20%，如此豐厚的利潤(rùn)回報(bào)無(wú)疑是助長(zhǎng)行業(yè)發(fā)展、促使更多的供應(yīng)商誕生的“動(dòng)機(jī)”所在。

目前市面上曝光的商業(yè)間諜軟件，不過(guò)只是冰山上微不足道的一角而已，藏匿在冰山下的部分還亟待全球研究人員的發(fā)掘。

商業(yè)間諜軟件驚人價(jià)格的“幕后推手”究竟是誰(shuí)？

隨著時(shí)間的變遷，商業(yè)間諜軟件開(kāi)始呈現(xiàn)出跨國(guó)界、跨行業(yè)的傳播趨勢(shì)。特別是在全球化的大背景下，企業(yè)間的競(jìng)爭(zhēng)愈發(fā)激烈，因此商業(yè)間諜軟件就成為了一些不法分子和競(jìng)爭(zhēng)對(duì)手獲取競(jìng)爭(zhēng)優(yōu)勢(shì)的“利器”。這些軟件不僅在國(guó)內(nèi)市場(chǎng)泛濫，還通過(guò)國(guó)際互聯(lián)網(wǎng)傳播到全球各地，給跨國(guó)企業(yè)帶來(lái)了極大的安全隱患。

研究人員認(rèn)為，目前商業(yè)間諜軟件市場(chǎng)快速增長(zhǎng)的主要原因是全球各國(guó)政府外包間諜軟件工具開(kāi)發(fā)的需求極為強(qiáng)烈，但都不愿在內(nèi)部開(kāi)發(fā)APT工具。

谷歌TAG的研究人員指出："政府不再需要依賴(lài)于建立自己的能力，轉(zhuǎn)而簽署有保證的漏洞利用合同，以及購(gòu)買(mǎi)從交付、安裝到分析所收集數(shù)據(jù)的全套服務(wù)工具。但這些“端到端”的一攬子解決方案通常價(jià)格驚人。

以為政府客戶(hù)提供的端到端監(jiān)控服務(wù)的希臘商業(yè)間諜軟件商Intellexa為例，客戶(hù)支付800萬(wàn)歐元，就可以使用遠(yuǎn)程一鍵漏洞利用鏈在Android和iOS設(shè)備上安裝間諜軟件植入物，一次最多可以運(yùn)行10個(gè)并發(fā)間諜軟件植入物。

同時(shí)，購(gòu)買(mǎi)Intellexa產(chǎn)品服務(wù)的政府/執(zhí)法機(jī)構(gòu)用戶(hù)能夠使用所在國(guó)的SIM卡并在設(shè)備上安裝和管理Intellexa的Nova系統(tǒng)，其中包括其Predator間諜軟件植入物和數(shù)據(jù)分析系統(tǒng)。

據(jù)悉，廠商還額外提供一年維護(hù)保證，如果工具使用的零日漏洞被修補(bǔ)，客戶(hù)將獲得新的漏洞利用。

當(dāng)然，如果客戶(hù)愿意額外支付120萬(wàn)歐元，還可在另外五個(gè)國(guó)家感染Android和iOS設(shè)備，再支付300萬(wàn)歐元就可保證在目標(biāo)設(shè)備的持久性。

事實(shí)上，政府機(jī)構(gòu)采購(gòu)商業(yè)間諜軟件已經(jīng)不是什么新鮮事。近年來(lái)，已經(jīng)有越來(lái)越多的國(guó)家開(kāi)始意識(shí)到商業(yè)間諜軟件的重要性，紛紛加大投入，采購(gòu)和部署這類(lèi)軟件。

圖源：央視新聞

此前印度政府就曾斥巨資公開(kāi)采購(gòu)新型間諜軟件，旨在提升國(guó)防和情報(bào)部門(mén)的監(jiān)控能力。幾年前，14個(gè)歐盟國(guó)家也曾因商業(yè)間諜軟件卷入了當(dāng)時(shí)鬧得沸沸揚(yáng)揚(yáng)的“歐洲水門(mén)事件中”。

報(bào)道稱(chēng)，以色列NSO公司開(kāi)發(fā)的飛馬間諜軟件曾在歐盟多個(gè)國(guó)家被用來(lái)非法監(jiān)視反對(duì)派成員、記者、民權(quán)活動(dòng)家和政府官員。在波蘭，飛馬軟件被當(dāng)局用來(lái)監(jiān)視政治對(duì)手。西班牙的案例更令人震驚。自2017 年開(kāi)始，西班牙情報(bào)機(jī)構(gòu)一直在使用飛馬軟件監(jiān)視多名加泰羅尼亞地區(qū)的政客和他們的家庭成員。飛馬軟件也被德國(guó)的相關(guān)機(jī)構(gòu)使用，包括德國(guó)聯(lián)邦刑事警察局和聯(lián)邦情報(bào)局，他們聲稱(chēng)監(jiān)聽(tīng)手機(jī)是為了追蹤可疑的恐怖分子和其他罪犯。

圖源：央視新聞

為此，歐洲議會(huì)成立了一個(gè)調(diào)查委員會(huì)，調(diào)查委員會(huì)在初步報(bào)告中將這一丑聞稱(chēng)為“歐洲水門(mén)事件”。報(bào)告稱(chēng)，間諜軟件丑聞不是孤立的案件而是一個(gè)系統(tǒng)的歐洲問(wèn)題。

全球多國(guó)政府采購(gòu)商業(yè)間諜軟件引發(fā)了一系列爭(zhēng)議和擔(dān)憂。一方面，這些軟件可能被用于侵犯?jìng)€(gè)人隱私和泄露敏感信息，對(duì)公民權(quán)益構(gòu)成威脅。另一方面，一些國(guó)家可能濫用這些軟件，進(jìn)行非法監(jiān)視和打壓異見(jiàn)人士，破壞民主和法治。

當(dāng)然，商業(yè)間諜軟件發(fā)展越來(lái)越猖獗的背后原因不僅于此，以上這些只是其中一個(gè)方面。

商業(yè)間諜軟件行業(yè)本身也受到了商業(yè)利益的驅(qū)動(dòng)。供應(yīng)商通過(guò)出售高性能的間諜軟件，獲取了豐厚的利潤(rùn)。同時(shí)，一些不法分子也利用商業(yè)間諜軟件進(jìn)行網(wǎng)絡(luò)犯罪活動(dòng)，如網(wǎng)絡(luò)釣魚(yú)、詐騙等，以獲取非法利益。

盡管商業(yè)間諜軟件的使用存在諸多爭(zhēng)議和擔(dān)憂，但相關(guān)法律法規(guī)的滯后也為其發(fā)展提供了空間。一些國(guó)家尚未建立完善的網(wǎng)絡(luò)安全法律法規(guī)體系，對(duì)商業(yè)間諜軟件的使用和監(jiān)管缺乏明確的規(guī)范和指導(dǎo)。這使得商業(yè)間諜軟件在一定程度上得以自由發(fā)展。

因此，技術(shù)革新的推動(dòng)、國(guó)際競(jìng)爭(zhēng)的加劇、商業(yè)利益的驅(qū)動(dòng)、法律法規(guī)的滯后、網(wǎng)絡(luò)安全防護(hù)的疏漏以及國(guó)際合作的不足等多個(gè)方面都是商業(yè)間諜軟件發(fā)展至今的“幕后推手”。

結(jié)語(yǔ)

全球間諜軟件市場(chǎng)的“野蠻生長(zhǎng)”無(wú)疑已是當(dāng)代信息安全領(lǐng)域的一大隱憂。但間諜軟件市場(chǎng)的繁榮并非偶然，它是商業(yè)利益與信息安全漏洞相互交織的產(chǎn)物。

這些軟件的存在，為不法分子提供了窺探他人隱私、竊取商業(yè)機(jī)密的工具，對(duì)全球商業(yè)、政治環(huán)境構(gòu)成了嚴(yán)重威脅。

商業(yè)間諜軟件為其客戶(hù)提供了強(qiáng)大的廣泛的域外監(jiān)視能力，且由于可更改攻擊目標(biāo)和沒(méi)有地理位置限制，以及溯源難度大等特點(diǎn)，因此也被視為當(dāng)今最危險(xiǎn)的網(wǎng)絡(luò)威脅之一。