就在美国宣布将针对散布间谍软体的个人进行签证限制的隔天,Google出版了长达30项的《Buying Spying》报告,公开商业间谍软体产业的运作。
Google威胁分析小组(Threat Analysis Group,TAG)长期以来追踪全球约40家商业监控供应商(Commercial Surveillance Vendors,CSV),这些供应商负责提供付费服务及工具,整合了用来绕过各种安全机制的攻击链,同时供应间谍软体及必要的基础设施,以搜集目标对象的资料。
这些CSV的主要客户为各国政府,攻击对象则涵盖记者、人权捍卫者、异议份子与政治对手,它们之所以引起Google TAG的注意,最大因素可能来自于CSV所利用的零时差漏洞,有一半是针对Google产品与Android系统。
根据TAG的统计,自2014年以来,在波及Google产品的72个零时差漏洞中,有35个源自于各家CSV,而且这是个保守估计,TAG相信这些CSV所利用的零时差漏洞一定更多,只是尚未被发现。
TAG指出,倘若各国政府曾经独占了最尖端的技术,那么那个时代已然结束,因为TAG现在所发现的最先进的攻击工具中,绝大多数都是来自于这些私人的商业监控供应商,光是在2023年所发现的25个已遭攻击的零时差漏洞,便有20个源自CSV。
与寻常的软体产业一样,CSV采用了不同的方法于间谍软体市场中保持竞争力,它们建立关系以向政府客户提供间谍软体,并借由专业性、协作或收购来提供有竞争力的产品。
TAG于报告中描述了Cy4Gate与RCS Lab、Intellexa、Negg Group、NSO Group及Variston等CSV业者的操作手法,包括它们如何宣传与交付自家的间谍软体产品,报告中也采访了曾受到攻击的受害者。
其中,2014年于义大利创立的Cy4Gate开发了锁定Android与iOS平台的Epeius间谍软体,使用至少3个Android零时差漏洞,并在2022年收购了同样位于义大利的RCS Lab,成立于1993年的RCS Lab宣称可提供高度可靠的电子监控解决方案,并开发与销售名为Hermit的间谍软体。尽管已合并,但Cy4Gate与RCS Lab仍保持独立运作,以各自的产品替不同的客群提供服务。
最后,Google则呼吁,只要各国政府拥有购买商业监控技术的需求,该产业便会持续茁壮,继续开发及销售间谍软体,而现在应该是政府、产业及民间社会共同改变其结构的时候了,以免相关技术进一步地蔓延。