《棱镜》后美国网络监控停了吗
“棱镜”后持续曝出美国网络监控活动和事件。
“棱镜”被曝光之后的十年间,仍不断有令人震惊的美国监听、监控项目被曝出,进一步揭露了美国情报机构无孔不入,将黑手伸向行业标准、软硬件供应链上游、大型平台服务器、移动设备等目标通过植入木马、预置漏洞、入侵通信链路、使用间谍软件等手段,不断强化情报获取能力。“棱镜”之后被曝出的影响较大的美国监控活动和事件梳理如下。
(一)“奔牛”计划:破解互联网密码污染加密标准
2013 年 9 月,英国《卫报》和美国《纽约时报》报道斯诺登披露的 NSA “奔牛”计划(BULLRUN),曝光 NSA 能够破解广泛使用的在线协议,包括HTTPS、VoIP 和安全套接层(SSL)等。NSA 的备忘录显示,NSA 每年花费 2.5 亿美元在软件和硬件中插入后门,且其破解特定网络通信技术加密的能力涉及多个非常敏感的来源。NSA 将该破解加密项目描述为“美国保持不受限制地访问和使用网络空间的入场券”。
“奔牛”计划是美国情报界“信号情报赋能计划”(SIGINT Enabling Project)的重要组成部分。被曝光的该项目绝密预算文件显示,与科技公司“合作”是该计划的重要手段,通过“积极与国内和国外 IT 企业合作,暗中影响和/或公开利用其商业产品的设计”“将漏洞插入商业加密系统”。参与此类合作的公司均未具名,这些细节具有更高级别密级。
2013 年 12 月,路透社刊文《连接 NSA 与安全产业先锋的秘密合同》称,美国国家标准与技术研究院(NIST)2006 年正式发布的 SP 800-90 标准中推荐的确定性随机位发生器(Dual_EC_DRBG),确实存在 NSA 的后门。在 NIST 将 Dual_EC_DRBG 加密算法纳入标准之前的 2004 年,NSA 支付 1000 万美元与加密技术公司 RSA 达成秘密协议,使具有 NSA 漏洞的 Dual_EC_DRBG 作为 BSafe 加密库中首选的默认随机数据生成算法,助其开展大规模监控。美国研究人员证实,因为该算法漏洞的存在,“利用单个 CPU 或计算集群只需花费数秒或数十秒,就可以获得通信密钥”。英国《卫报》2013年评论称,“NSA 的做法已经动摇了整个互联网的信任基础”。
(二)“风挡”计划:入侵雅虎和谷歌数据中心
2013 年 10 月 31 日,美国《华盛顿邮报》和《纽约时报》同步曝光英国政府通信总部(GCHQ)和 NSA 联合实施的监控项目“强健”计划(MUSCULAR)。通过斯诺登披露的文件和知情人士提供的信息,媒体揭露了 GCHQ 和 NSA 通过美国电信运营商 Level 3,秘密侵入连接雅虎和谷歌数据中心处于英国的主要通信链路 DS-200B。在 2012 年 12 月至 2013 年 1 月的 30 天内,“强健”计划收集了 1.81 亿份记录,远远超过“棱镜”计划每天收集的上百万数据。但是,这一数据较之“香炉”计划(INCENSER)还是相形见绌,该计划同期 30 天内收集了超过 140 亿份记录。
“强健”与“香炉”均为“风挡”计划(WINDSTOP)的子项目,是 NSA 与所谓“可信第二方”(Trusted Second Party)“五眼联盟”(FVEY)情报机构合作的监控项目,旨在监控欧洲和中东地区的通信。
“香炉”计划的监控目标为连接北美东海岸至英国、法国以及连接亚欧的两条海底光缆,在英国大东电报局(Cable & Wireless)的支持下,在英国康沃尔监控接入点进行数据拦截。海底光缆数据流通过海量压缩(MVR)进行过滤后提取,除通话外,所有类型的 IP 流量,如 VoIP、电子邮件、web 邮件和即时消息等都被重构,存储在 NSA 的服务器上供情报人员进行搜索、分析。据《卫报》报道,2011 年,GCHQ 处理了 4 万个目标,NSA 处理了 3.1 万个目标。另据被泄露的 GCHQ 文件,由于涉及的光缆运营商印度信实通信公司并非“五眼联盟”合作伙伴,无法直接暗箱操作,所以为获取情报,从 2009 年开始,进行代号为 PFENNING ALPHA 的网络黑客攻击以便获取情报。
(三)“怒角”计划:劫持谷歌和三星应用商店感染智能手机
2015 年 5 月 21 日,加拿大广播公司与英国《卫报》同时刊文,揭露 NSA 与“五眼联盟”实施的“怒角”计划(IRRITANTHORN)。此前,斯诺登披露的文件已显示,“五眼联盟”成员国有关机构为苹果和安卓智能手机设计了间谍软件。这些间谍软件在感染目标手机后可获取电子邮件、文本、网络历史记录、通话记录、视频、照片以及所存储的其他文件。“怒角”计划则揭示了这些机构如何“利用”应用程序商店服务器发起“中间人攻击”。
2011 年 11 月 至 2012 年 2 月,“五眼联盟”情报机构多次开会研讨、确立行动方案,通过使用 NSA 的 XKEYSCORE 分析识别流经互联网光缆的智能手机流量,破解和劫持手机用户与谷歌和三星应用程序商店的连接,向目标手机发送间谍软件,收集数据。
XKEYSCORE 是斯诺登曝光的一项 NSA 绝密项目。2013 年 7 月,《卫报》曾对其进行了较为详细的报道。该计划最初是采集和分析邮件和浏览器活动,并建立庞大的“指纹”系统,后来发展为几乎覆盖 VoIP、社交聊天等所有网上活动的监视和分析系统。XKEYSCORE 被称为 NSA 的“谷歌系统”。NSA 在全球 150 个地点设置超过 700 个服务器支持该项目运作。大数据公司 Palantir 的海量数据分析和可视化分类服务,对该系统给予了有力支持。
(四)“拱形”计划:监控网络安全厂商
2015 年 6 月 22 日,美国多家媒体网站“拦截者”“连线”“福布斯”等同步报道“自由斯诺登”网站当天曝光的 NSA 绝密文档《轻松获胜:利用信号情报了解新病毒》,披露美国情报机构对全球网络安全厂商实施的“拱形”(CAMBERDADA)计划。
通过对俄罗斯卡巴斯基等反病毒厂商和用户间通信的监控,美国情报机构获取新病毒样本及其他相关信息,并据此开发网络攻击武器。该计划可能始于 2007 年,由 NSA 下设机构信息保障局(IAD)和威胁行动中心(NTOC)执行。除卡巴斯基外,该计划后续目标涉及欧洲和亚洲 16 个国家的 23 家全球重点网络安全厂商。美国迈克菲(McAfee)、赛门铁克(Symantec)和英国守护士(Sophos)均不在目标名单之上。分析认为,该计划服务于美国主导的“五眼联盟”国家情报机构,所列目标为其他国家有能力发现和遏制美国情报活动的安全厂商“黑名单”。
“连线”刊发的文章称,“拱形”计划是一个系统性的恶意软件检测“逆向工程”。NSA 每天从发送至卡巴斯基的数十万个恶意样本中筛选出 10 个进行分析,检查卡巴斯基杀毒软件对这些恶意样本的响应,在确认尚未被纳入检测的样本后,NSA黑客会“改造恶意软件”供自己使用,并定期检查卡巴斯基是否将其纳入病毒库。
(五)“宝库”/“界限”计划:操控瑞士加密机公司 Crypto AG
2020 年 2 月 11 日,美国《华盛顿邮报》、瑞士德语广播电视(SRF)和德国电视二台(ZDF)联合发布调查报告,曝光 CIA 与德国联邦情报局(BND)在二战以来数十年间,通过控制全球最大加密设备制造商瑞士 Crypto AG 公司,窃取全球多达 120 个国家的最高机密。
媒体通过采访多名匿名情报部门官员及 Crypto AG 公司员工,揭露了这一长达数十年窃密行动的真相。1951 年,Crypto AG 公司与美情报部门达成秘密协议,即最先进型号加密设备只对美国批准的国家出售,以此得到高达 70 万美元的损失补偿;1967 年,Crypto AG 公司推出取代机械加密的新一代电子加密机,但其内部工作原理完全由 NSA 密码学家设计;1970 年,美德情报机构联手收购了Crypto AG 的股份,完全控制了该公司的业务运营、员工雇佣、技术设计及销售对象。该行动最初代号为“宝库”(THESAURUS),直到 20 世纪 80 年代被改为“界限”(RUBICON)。
各国本欲使用密码机保护的通信情报在美德面前成了高价定制的“皇帝新衣”。《华盛顿邮报》报道称,20 世纪 80 年代,NSA 破解的外交通信情报中,大约 40% 来自 Crypto AG 加密设备。可以说,Crypto AG 加密机决定了二战后许多重大历史事件走向。CIA 文件显示,在伊朗与伊拉克长达十年的战争期间,美国情报机构截获了伊朗发送的超过 1.9 万份加密通信,这些情报对美国而言“可读性为 80%到 90%”。
(六)“邓哈默行动”:接入丹麦海底光缆监听欧洲国家
2021 年 5 月 31 日,丹麦广播公司(DR)率先报道,德国《明镜周刊》、英国路透社、阿拉伯半岛电视台、今日俄罗斯等媒体转载,披露 NSA 在 2012 年至 2014 年间与丹麦国防情报局(FE)合作的情况,他们通过接入海底互联网光缆,对法国、德国、挪威和瑞典的高级官员的移动电话、电子邮件、聊天信息等进行监听、监视,目标包括德国时任总理默克尔以及外长、财政部长等。此项行动代号为“邓哈默行动”(Operation DUNHAMMER)。
丹麦因其地理位置而拥有数座连接德国、瑞典、荷兰、挪威和英国的海底光缆关键着陆站点。NSA正是利用其优势资源,通过监听海底光缆针对性检索,使用 XKEYSCORE 分析系统,截获了欧洲多国官员的通话、短信和网络信息。
除丹麦外,2020 年 11 月 和 2021 年 5 月,欧洲媒体也连续披露 NSA 通过网络监控海底光缆对法、德等欧洲盟友进行窃密的丑闻,包括监控意大利的三条海底光缆、日均监控 200 万个法国通信活动和 1 亿多个德国通信活动等。
(七)社交媒体监控软件 Babel X 采购事件
2022 年 4 月 5 日,美国《华盛顿邮报》报道,FBI 与 Babel Street 公司签订了高达 2700 万美元的创纪录软件服务合同,购买 5000 份 Babel X 软件的使用许可,强化 FBI 对社交媒体内容的搜索与追踪能力,扩大开源情报来源。该合同于 2022 年 3月 1 日生效,持续 5 年。
FBI 表示,此份采购为了能够从“推特、脸书、Instagram、YouTube、LinkedIn、Deep/Dark Web、VK 及 Telegram”等社交媒体软件或网站获取信息。事实上,FBI 监控清单上还包括 8Kun、Discord、Gab、Parler、Reddit、抖音及微博等。5000 份许可证可以使 FBI 每月搜索大约 2 万个关键词。
虽然合同具体细节不为外界所知,但是根据 FBI 招标要求,Babel X 软件应该具备对“至少七种外语”的搜索及翻译能力,同时,还应具备对某一设定地理区域的搜索,对发帖人的关联分析、情绪分析、表情分析、预测分析、机器探测等备选功能。
(八)以色列 NSO 公司间谍软件采购事件
2022 年 5 月 12 日,美国《纽约时报》报道称,2018 年,FBI 购买以色列网络安全企业 NSO 间谍软件“飞马”。据报道,当时代表美方签约的是一家名为“埃及艳后控股”的美国公司,其背后的实际所有者是政府承包商“黎瓦网络”。
飞马”是一款具有跟踪、监听和间谍渗透的间谍软件。它无需来自目标的任何交互就可以发起所谓的“零点击”攻击,秘密地从远程目标的移动设备中提取情报,还能远控打开摄像头和麦克风,实时监控机主的一切活动。获取的数据以隐藏、压缩和加密的方式发送回“飞马”服务器。防病毒和反间谍软件难以追踪其行为。该软件还可以在面临暴露风险时启动自毁机制。2021 年 7 月 18 日,《华盛顿邮报》《卫报》等媒体发布调查报告,揭露 NSO 销售的“飞马”间谍软件在 50 多个国家和地区开展业务,对 14 位国家元首以及众多政要进行监控。2021 年 11 月 3 日,拜登政府将 NSO 列入美商务部黑名单,禁止该公司在美进行商业运营。
据《纽约时报》2023 年 4 月 2 日爆料,就在美国发布 NSO 在美禁令 5 天后,即 2021 年 11 月 8 日,美国政府机构通过第三方公司与 NSO 签约购买另一款名为“地标”(Landmark)的地理定位黑客工具。该工具能够在目标用户不知情或未同意的情况下精确定位手机位置。据透露,美国政府根据这份合同对墨西哥目标进行了数千次查询。
除了不顾禁令地采购 NSO 产品外,专门向美国防部门和情报部门出售电子战和监控技术的美军工巨头 L3 哈里斯科技公司,还进行过收购 NSO 活动,并为将其从美商务部黑名单中移出进行游说。
