2014年的夏天,印度新德里一個(gè)不知名的承包商Aglaya公司正在默默努力著,試圖在年收益高達(dá)50億美元的外包政府監(jiān)控市場(chǎng)和黑客服務(wù)市場(chǎng)中分一杯羹。
為了吸引潛在客戶,Aglaya公司制作了一份長(zhǎng)達(dá)20頁(yè)的產(chǎn)品宣傳冊(cè)。Motherboard網(wǎng)站獲取到了這份宣傳冊(cè),并讓大眾詳細(xì)了解了那些在全球政府會(huì)議上宣傳監(jiān)控工具和黑客工具的供貨商們。
詳細(xì)介紹
這份被泄露的宣傳冊(cè)不僅曝光了Aglaya公司所提供的一些不可告人的服務(wù),而且還揭露了黑產(chǎn)承包商、信息安全中間商、以及全世界政府之間不可告人的幕后交易。由此看來(lái),這些國(guó)家和政府的確都急于提高他們的監(jiān)控能力和黑客技術(shù)。
這份銷售文檔還指出了目前商業(yè)間諜工具的普及程度。只需花費(fèi)3,000歐元,該公司就能提供一份針對(duì)Android或iOS系統(tǒng)的間諜軟件。這種惡意軟件與Hacking Team、FinFisher、以及NSO Group所開(kāi)發(fā)的間諜工具類似。不僅如此,Aglaya公司還聲稱,只需25萬(wàn)歐元,他們就可以幫助你追蹤全球任何一部手機(jī)。
這些服務(wù)都是眾多間諜工具開(kāi)發(fā)公司所提供的基本服務(wù),這些公司每年都會(huì)在“情報(bào)支持系統(tǒng)世界貿(mào)易展”(ISSWorld)上展示并出售他們的產(chǎn)品。
各種黑客服務(wù)被曝光
但是,從泄露的宣傳冊(cè)中可以看出,Aglaya公司能夠提供更加豐富的服務(wù)。例如,時(shí)長(zhǎng)為8至12周的黑客服務(wù),每日收費(fèi)為2,500歐元。值得一提的是,該公司還提供了一項(xiàng)服務(wù)被稱作“WeaponizedInformation”的服務(wù)。公司承諾,這項(xiàng)服務(wù)不僅能篡改用戶的互聯(lián)網(wǎng)搜索結(jié)果,甚至還可以偽造Facebook和Twitter這類社交網(wǎng)絡(luò)上的時(shí)事熱點(diǎn)。與此同時(shí),該公司還聲稱,無(wú)論你是個(gè)人還是公司,他們都能用各種各樣的攻擊手段中傷“目標(biāo)”。
該公司還揚(yáng)言:“我們會(huì)源源不斷地推送各種信息,將‘目標(biāo)’推送至所有搜索引擎的熱搜榜單中。”
除了上述服務(wù)之外,Aglaya公司還可以為用戶提供安全檢測(cè)服務(wù)或分布式拒絕服務(wù)(DDoS)攻擊。根據(jù)宣傳冊(cè)的介紹,這兩項(xiàng)服務(wù)每天的價(jià)格為600歐元。該服務(wù)的操作方式是利用僵尸網(wǎng)絡(luò)向被攻擊目標(biāo)發(fā)送惡意流量,并迫使目標(biāo)下線。除此之外,客戶還可以購(gòu)買額外的附加服務(wù),附加服務(wù)可以讓被攻擊的目標(biāo)陷入偽造的刑事起訴案件中,但是這項(xiàng)附加服務(wù)需要額外支付100萬(wàn)歐元。
用戶還可以購(gòu)買“網(wǎng)絡(luò)戰(zhàn)爭(zhēng)服務(wù)”,用戶不僅可以利用該服務(wù)來(lái)攻擊工廠、電力公司、以及關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施,該服務(wù)甚至還可以攻擊人造衛(wèi)星和飛機(jī)。根據(jù)宣傳手冊(cè)的描述,這項(xiàng)服務(wù)的起售價(jià)為100萬(wàn)歐元。Aglaya公司還聲稱,他們可以出售西門子工業(yè)控制系統(tǒng)中的未知漏洞或0day漏洞,價(jià)格為200萬(wàn)歐元。
安全專家卻對(duì)此表示懷疑
但是,很多查閱過(guò)該宣傳冊(cè)的安全專家卻表示對(duì)Aglaya公司出售的部分產(chǎn)品持懷疑態(tài)度。很多專家認(rèn)為這些產(chǎn)品名不副實(shí),甚至懷疑這些產(chǎn)品根本就不存在。不過(guò)泄漏的宣傳冊(cè)顯示,還是有很多政府對(duì)這些服務(wù)非常感興趣,這也就意味著一定需要有相關(guān)公司和服務(wù)來(lái)填補(bǔ)這一份市場(chǎng)空缺。
Christopher Soghoian是美國(guó)公民自由聯(lián)盟的首席技術(shù)專家,他已經(jīng)跟蹤并研究監(jiān)控技術(shù)廠商很多年了,他在接受Motherboard的采訪時(shí)說(shuō)到:
“這份宣傳冊(cè)上所提到的一些產(chǎn)品和服務(wù)真的很不現(xiàn)實(shí)。另外,提供攻擊衛(wèi)星或飛機(jī)的服務(wù)顯然是違法的。但這些供應(yīng)商都是唯利是圖的人,他們的原則就是盡力滿足客戶的一切要求,至于能不能兌現(xiàn)諾言就另當(dāng)別論了。就此看來(lái),這些網(wǎng)絡(luò)外包公司并不會(huì)僅僅將他們的注意力放在那些所謂“合法”的監(jiān)控產(chǎn)品市場(chǎng)。”
在證據(jù)面前,任何解釋都顯得很蒼白
但是,Aglaya公司的CEO兼創(chuàng)始人Ankur Srivastava并沒(méi)有公開(kāi)承認(rèn)這份宣傳冊(cè)的真實(shí)性。Srivastava在電子郵件中說(shuō)到:“我們并不會(huì)向所有的客戶都提供這些產(chǎn)品,這些產(chǎn)品是給特殊客戶量身定制的。”
Srivastava還表示,他很后悔參加了ISS World展會(huì),因?yàn)锳glaya公司從來(lái)沒(méi)有出售過(guò)宣傳冊(cè)上的產(chǎn)品和服務(wù),他還宣布不會(huì)再提供這類產(chǎn)品和服務(wù)了。(在被問(wèn)及到ISSWorld是否會(huì)縱容那些提供這類黑客服務(wù)的公司時(shí),主辦方對(duì)此沒(méi)有做出任何回應(yīng)。)
Srivastava還補(bǔ)充說(shuō)到:“我會(huì)向大家證明我們不是提供這類服務(wù)的公司,我們參加這次展會(huì)純屬意外。”
然而,在被問(wèn)及到更多的細(xì)節(jié)信息時(shí),Srivastava并沒(méi)有直接回答,反而一直在重申他們公司從來(lái)沒(méi)有與任何政府有過(guò)任何交易,他還表示參加ISS World展會(huì)簡(jiǎn)直是一件浪費(fèi)時(shí)間和金錢的事情。Aglaya公司目前之所以會(huì)遇到困境,他認(rèn)為主要是因?yàn)楣緵](méi)有設(shè)在西方國(guó)家,在他看來(lái),有這些需求的客戶們更愿意找西方國(guó)家的供應(yīng)商。
在被問(wèn)到對(duì)這類服務(wù)感興趣的潛在客戶身份時(shí),Srivastava卻表示他對(duì)此一無(wú)所知,他說(shuō)他只跟一個(gè)來(lái)自南美洲的中間商有過(guò)交易。
該宣傳冊(cè)并沒(méi)有說(shuō)明有哪些國(guó)家對(duì)這類服務(wù)感興趣。不過(guò),拉丁美洲的政府,比如墨西哥和厄瓜多爾,會(huì)使用Twitterbots或其它方式在網(wǎng)上發(fā)布虛假信息。此外,墨西哥的客戶在購(gòu)買Hacking Team和FinFisher開(kāi)發(fā)的間諜產(chǎn)品上可是出了名的大方。
Srivastava一直在逃避關(guān)于他的公司制造間諜產(chǎn)品的問(wèn)題。但是,一位曾經(jīng)在監(jiān)控行業(yè)工作過(guò)的匿名人士表示,他曾經(jīng)見(jiàn)到過(guò)Aglaya公司制造的惡意軟件樣本,其中的軟件代碼內(nèi)全是Aglaya公司的信息。
這位匿名人士還表示,他的一位客戶去年就被Aglaya公司盯上了。該客戶收到一部安裝了惡意軟件的手機(jī),并被告知他之所以可以獲得這部手機(jī),是因?yàn)樗A得了某場(chǎng)比賽。這聽(tīng)起來(lái)也許很可笑,但Aglaya公司就是用這種方式來(lái)攻擊受害者的,實(shí)際上他們無(wú)法規(guī)避蘋果的安全措施,也無(wú)法在沒(méi)有越獄的情況下給手機(jī)安裝惡意軟件。Aglaya公司肯定向某些特殊用戶提供過(guò)監(jiān)控服務(wù),而且某些中東國(guó)家對(duì)這類服務(wù)非常感興趣。
另一位匿名知情者表示,Aglaya公司的一位代表曾宣稱他們公司確實(shí)有中東國(guó)家的客戶。該知情者還說(shuō),Aglaya公司聲稱放棄監(jiān)控技術(shù)業(yè)務(wù)根本就是謊言,他去年還看見(jiàn)過(guò)這本產(chǎn)品宣傳冊(cè)的升級(jí)版。
總結(jié)
Aglaya公司的手中可能的確擁有一些客戶資源,但這個(gè)公司確實(shí)只是監(jiān)控和黑客行業(yè)中的一個(gè)無(wú)名小卒。目前還有很多涉足這個(gè)行業(yè)的公司,也許他們有更多的客戶,能提供更好的服務(wù),但我們卻無(wú)從得知。除非他們被逮捕,或是他們的宣傳資料也被泄露出來(lái)。
通常來(lái)說(shuō),這些公司都會(huì)出售安全防御服務(wù)和攻擊服務(wù)。Srivastava在回避了大量提問(wèn)后,主動(dòng)向Motherboard網(wǎng)站展示了他們公司的最新產(chǎn)品–“SpiderMonkey”。該設(shè)備的功能與“Stingrays”或IMSI捕捉器這類監(jiān)控裝置的功能類似,可以用來(lái)追蹤和監(jiān)控手機(jī)設(shè)備,也能盜取手機(jī)設(shè)備中的資料。