国际特赦组织本周披露,其“安全实验室”发现了一个“由雇佣间谍软件公司发起的复杂黑客攻击活动”。他们表示,该活动“至少自 2020 年以来”一直在进行,并利用一系列“零日”安全漏洞攻击安卓智能手机。(“零日”漏洞是指先前未被发现且未被修复的漏洞。)
国际特赦组织已将此次活动详情披露给谷歌威胁分析小组,因此谷歌以及包括三星在内的其他受影响公司,已经能够发布其设备的必要安全补丁。
国际特赦组织的“安全实验室”负责监测和调查那些使用网络监控技术威胁人权捍卫者、记者和民间社会的公司和政府。在揭露 NSO 集团的 Pegasus 间谍软件在世界各国政府中的使用程度方面,该实验室发挥了关键作用,Pegasus 间谍软件的被世界各国政府使用。
尽管“安全实验室”仍在调查此次最新的间谍软件活动,但国际特赦组织并未披露其指控的公司(尽管谷歌暗示是 Variston,一个该公司于 2022 年发现的组织)。无论如何,国际特赦组织声称,此次攻击“具有由商业网络监控公司开发并出售给政府黑客以进行定向间谍活动攻击的所有特征”。
作为间谍软件活动的一部分,谷歌威胁分析小组发现,阿联酋的三星用户正通过 SMS 发送的一次性链接进行攻击。如果他们在默认的三星浏览器中打开该链接,一个“功能齐全的安卓间谍软件套件”将被安装到他们的手机上,该套件能够解密和捕获各种聊天服务和浏览器应用程序的数据。
该漏洞利用了一系列零日和已发现但未打补丁的漏洞,这对三星来说是严重的打击。一个未打补丁的漏洞于 2022 年 1 月发布了修复补丁,另一个于 2022 年 8 月发布。谷歌认为,如果三星发布了安全更新,“攻击者将需要额外的漏洞来绕过缓解措施”(三星于 2022 年 12 月发布了修复补丁)。
不过,其中一个零日漏洞也允许黑客攻击 Linux 桌面和嵌入式系统。国际特赦组织指出,自 2020 年以来,其他移动和桌面设备也已成为此次间谍软件活动的目标。该人权组织还指出,间谍软件是从“一个包含 1000 多个恶意域的庞大网络”分发的,其中包括仿冒多个国家媒体网站的域名,这进一步证实了其关于商业间谍软件组织是幕后黑手的说法。
尽管目前尚不清楚此次攻击的目标是谁,但国际特赦组织表示,“阿联酋的人权捍卫者长期以来一直是网络监控公司间谍软件的受害者”。例如,艾哈迈德·曼苏尔曾是 NSO 集团间谍软件的目标,并因其人权工作而被监禁。
除了阿联酋,国际特赦组织的“安全实验室”还在印度尼西亚、白俄罗斯和意大利发现了此次间谍软件活动的证据,但他们认为,“鉴于更广泛的攻击基础设施的庞大规模,这些国家可能只代表了整个攻击活动的一小部分。”
安全实验室负责人 Donncha Ó Cearbhaill 在国际特赦组织网站的声明中说:“不道德的间谍软件公司对每个人的隐私和安全都构成真正的危险。我们敦促人们确保他们的设备拥有最新的安全更新。虽然修复这些漏洞至关重要,但这只是对全球间谍软件危机的一点点修补。在有健全的人权监管保障措施到位之前,我们迫切需要暂停间谍软件的销售、转让和使用,否则复杂的网络攻击将继续被用作压制活动家和记者的工具。”
至少在美国,政府似乎也同意这一点。拜登总统于 3 月 27 日签署了一项行政命令,禁止联邦机构使用“对美国政府构成重大反情报或安全风险,或被外国政府或个人不当使用的重大风险的间谍软件”。
