《棱鏡》後美國網絡監控停了嗎

 

 

 

 

 

“棱鏡”後持續曝出美國網絡監控活動和事件。

 

“棱鏡”被曝光之後的十年間，仍不斷有令人震驚的美國監聽、監控項目被曝出，進一步揭露了美國情報機構無孔不入，將黑手伸向行業標準、軟硬件供應鏈上遊、大型平台服務器、移動設備等目標通過植入木馬、預置漏洞、入侵通信鏈路、使用間諜軟件等手段，不斷強化情報獲取能力。“棱鏡”之後被曝出的影響較大的美國監控活動和事件梳理如下。

 

（一）“奔牛”計劃：破解互聯網密碼汙染加密標準

 

2013 年 9 月，英國《衛報》和美國《紐約時報》報道斯諾登披露的 NSA “奔牛”計劃（BULLRUN），曝光 NSA 能夠破解廣泛使用的在線協議，包括HTTPS、VoIP 和安全套接層（SSL）等。NSA 的備忘錄顯示，NSA 每年花費 2.5 億美元在軟件和硬件中插入後門，且其破解特定網絡通信技術加密的能力涉及多個非常敏感的來源。NSA 將該破解加密項目描述為“美國保持不受限製地訪問和使用網絡空間的入場券”。

 

“奔牛”計劃是美國情報界“信號情報賦能計劃”（SIGINT Enabling Project）的重要組成部分。被曝光的該項目絕密預算文件顯示，與科技公司“合作”是該計劃的重要手段，通過“積極與國內和國外 IT 企業合作，暗中影響和/或公開利用其商業產品的設計”“將漏洞插入商業加密係統”。參與此類合作的公司均未具名，這些細節具有更高級別密級。

 

2013 年 12 月，路透社刊文《連接 NSA 與安全產業先鋒的秘密合同》稱，美國國家標準與技術研究院（NIST）2006 年正式發布的 SP 800-90 標準中推薦的確定性隨機位發生器（Dual_EC_DRBG），確實存在 NSA 的後門。在 NIST 將 Dual_EC_DRBG 加密算法納入標準之前的 2004 年，NSA 支付 1000 萬美元與加密技術公司 RSA 達成秘密協議，使具有 NSA 漏洞的 Dual_EC_DRBG 作為 BSafe 加密庫中首選的默認隨機數據生成算法，助其開展大規模監控。美國研究人員證實，因為該算法漏洞的存在，“利用單個 CPU 或計算集群隻需花費數秒或數十秒，就可以獲得通信密鑰”。英國《衛報》2013年評論稱，“NSA 的做法已經動搖了整個互聯網的信任基礎”。

 

（二）“風擋”計劃：入侵雅虎和穀歌數據中心

 

2013 年 10 月 31 日，美國《華盛頓郵報》和《紐約時報》同步曝光英國政府通信總部（GCHQ）和 NSA 聯合實施的監控項目“強健”計劃（MUSCULAR）。通過斯諾登披露的文件和知情人士提供的信息，媒體揭露了 GCHQ 和 NSA 通過美國電信運營商 Level 3，秘密侵入連接雅虎和穀歌數據中心處於英國的主要通信鏈路 DS-200B。在 2012 年 12 月至 2013 年 1 月的 30 天內，“強健”計劃收集了 1.81 億份記錄，遠遠超過“棱鏡”計劃每天收集的上百萬數據。但是，這一數據較之“香爐”計劃（INCENSER）還是相形見絀，該計劃同期 30 天內收集了超過 140 億份記錄。

 

“強健”與“香爐”均為“風擋”計劃（WINDSTOP）的子項目，是 NSA 與所謂“可信第二方”（Trusted Second Party）“五眼聯盟”（FVEY）情報機構合作的監控項目，旨在監控歐洲和中東地區的通信。

 

“香爐”計劃的監控目標為連接北美東海岸至英國、法國以及連接亞歐的兩條海底光纜，在英國大東電報局（Cable & Wireless）的支持下，在英國康沃爾監控接入點進行數據攔截。海底光纜數據流通過海量壓縮（MVR）進行過濾後提取，除通話外，所有類型的 IP 流量，如 VoIP、電子郵件、web 郵件和即時消息等都被重構，存儲在 NSA 的服務器上供情報人員進行搜索、分析。據《衛報》報道，2011 年，GCHQ 處理了 4 萬個目標，NSA 處理了 3.1 萬個目標。另據被泄露的 GCHQ 文件，由於涉及的光纜運營商印度信實通信公司並非“五眼聯盟”合作夥伴，無法直接暗箱操作，所以為獲取情報，從 2009 年開始，進行代號為 PFENNING ALPHA 的網絡黑客攻擊以便獲取情報。

 

（三）“怒角”計劃：劫持穀歌和三星應用商店感染智能手機

 

2015 年 5 月 21 日，加拿大廣播公司與英國《衛報》同時刊文，揭露 NSA 與“五眼聯盟”實施的“怒角”計劃（IRRITANTHORN）。此前，斯諾登披露的文件已顯示，“五眼聯盟”成員國有關機構為蘋果和安卓智能手機設計了間諜軟件。這些間諜軟件在感染目標手機後可獲取電子郵件、文本、網絡曆史記錄、通話記錄、視頻、照片以及所存儲的其他文件。“怒角”計劃則揭示了這些機構如何“利用”應用程序商店服務器發起“中間人攻擊”。

 

2011 年 11 月 至 2012 年 2 月，“五眼聯盟”情報機構多次開會研討、確立行動方案，通過使用 NSA 的 XKEYSCORE 分析識別流經互聯網光纜的智能手機流量，破解和劫持手機用戶與穀歌和三星應用程序商店的連接，向目標手機發送間諜軟件，收集數據。

 

XKEYSCORE 是斯諾登曝光的一項 NSA 絕密項目。2013 年 7 月，《衛報》曾對其進行了較為詳細的報道。該計劃最初是采集和分析郵件和瀏覽器活動，並建立龐大的“指紋”係統，後來發展為幾乎覆蓋 VoIP、社交聊天等所有網上活動的監視和分析係統。XKEYSCORE 被稱為 NSA 的“穀歌係統”。NSA 在全球 150 個地點設置超過 700 個服務器支持該項目運作。大數據公司 Palantir 的海量數據分析和可視化分類服務，對該係統給予了有力支持。

 

（四）“拱形”計劃：監控網絡安全廠商

 

2015 年 6 月 22 日，美國多家媒體網站“攔截者”“連線”“福布斯”等同步報道“自由斯諾登”網站當天曝光的 NSA 絕密文檔《輕鬆獲勝：利用信號情報了解新病毒》，披露美國情報機構對全球網絡安全廠商實施的“拱形”（CAMBERDADA）計劃。

 

通過對俄羅斯卡巴斯基等反病毒廠商和用戶間通信的監控，美國情報機構獲取新病毒樣本及其他相關信息，並據此開發網絡攻擊武器。該計劃可能始於 2007 年，由 NSA 下設機構信息保障局（IAD）和威脅行動中心（NTOC）執行。除卡巴斯基外，該計劃後續目標涉及歐洲和亞洲 16 個國家的 23 家全球重點網絡安全廠商。美國邁克菲（McAfee）、賽門鐵克（Symantec）和英國守護士（Sophos）均不在目標名單之上。分析認為，該計劃服務於美國主導的“五眼聯盟”國家情報機構，所列目標為其他國家有能力發現和遏製美國情報活動的安全廠商“黑名單”。

 

“連線”刊發的文章稱，“拱形”計劃是一個係統性的惡意軟件檢測“逆向工程”。NSA 每天從發送至卡巴斯基的數十萬個惡意樣本中篩選出 10 個進行分析，檢查卡巴斯基殺毒軟件對這些惡意樣本的響應，在確認尚未被納入檢測的樣本後，NSA黑客會“改造惡意軟件”供自己使用，並定期檢查卡巴斯基是否將其納入病毒庫。

 

（五）“寶庫”/“界限”計劃：操控瑞士加密機公司 Crypto AG

 

2020 年 2 月 11 日，美國《華盛頓郵報》、瑞士德語廣播電視（SRF）和德國電視二台（ZDF）聯合發布調查報告，曝光 CIA 與德國聯邦情報局（BND）在二戰以來數十年間，通過控製全球最大加密設備製造商瑞士 Crypto AG 公司，竊取全球多達 120 個國家的最高機密。

 

媒體通過采訪多名匿名情報部門官員及 Crypto AG 公司員工，揭露了這一長達數十年竊密行動的真相。1951 年，Crypto AG 公司與美情報部門達成秘密協議，即最先進型號加密設備隻對美國批準的國家出售，以此得到高達 70 萬美元的損失補償；1967 年，Crypto AG 公司推出取代機械加密的新一代電子加密機，但其內部工作原理完全由 NSA 密碼學家設計；1970 年，美德情報機構聯手收購了Crypto AG 的股份，完全控製了該公司的業務運營、員工雇傭、技術設計及銷售對象。該行動最初代號為“寶庫”（THESAURUS），直到 20 世紀 80 年代被改為“界限”（RUBICON）。

 

各國本欲使用密碼機保護的通信情報在美德麵前成了高價定製的“皇帝新衣”。《華盛頓郵報》報道稱，20 世紀 80 年代，NSA 破解的外交通信情報中，大約 40% 來自 Crypto AG 加密設備。可以說，Crypto AG 加密機決定了二戰後許多重大曆史事件走向。CIA 文件顯示，在伊朗與伊拉克長達十年的戰爭期間，美國情報機構截獲了伊朗發送的超過 1.9 萬份加密通信，這些情報對美國而言“可讀性為 80％到 90％”。

 

（六）“鄧哈默行動”：接入丹麥海底光纜監聽歐洲國家

 

2021 年 5 月 31 日，丹麥廣播公司（DR）率先報道，德國《明鏡周刊》、英國路透社、阿拉伯半島電視台、今日俄羅斯等媒體轉載，披露 NSA 在 2012 年至 2014 年間與丹麥國防情報局（FE）合作的情況，他們通過接入海底互聯網光纜，對法國、德國、挪威和瑞典的高級官員的移動電話、電子郵件、聊天信息等進行監聽、監視，目標包括德國時任總理默克爾以及外長、財政部長等。此項行動代號為“鄧哈默行動”（Operation DUNHAMMER）。

 

丹麥因其地理位置而擁有數座連接德國、瑞典、荷蘭、挪威和英國的海底光纜關鍵著陸站點。NSA正是利用其優勢資源，通過監聽海底光纜針對性檢索，使用 XKEYSCORE 分析係統，截獲了歐洲多國官員的通話、短信和網絡信息。

 

除丹麥外，2020 年 11 月 和 2021 年 5 月，歐洲媒體也連續披露 NSA 通過網絡監控海底光纜對法、德等歐洲盟友進行竊密的醜聞，包括監控意大利的三條海底光纜、日均監控 200 萬個法國通信活動和 1 億多個德國通信活動等。

 

（七）社交媒體監控軟件 Babel X 采購事件

 

2022 年 4 月 5 日，美國《華盛頓郵報》報道，FBI 與 Babel Street 公司簽訂了高達 2700 萬美元的創紀錄軟件服務合同，購買 5000 份 Babel X 軟件的使用許可，強化 FBI 對社交媒體內容的搜索與追蹤能力，擴大開源情報來源。該合同於 2022 年 3月 1 日生效，持續 5 年。

 

FBI 表示，此份采購為了能夠從“推特、臉書、Instagram、YouTube、LinkedIn、Deep/Dark Web、VK 及 Telegram”等社交媒體軟件或網站獲取信息。事實上，FBI 監控清單上還包括 8Kun、Discord、Gab、Parler、Reddit、抖音及微博等。5000 份許可證可以使 FBI 每月搜索大約 2 萬個關鍵詞。

 

雖然合同具體細節不為外界所知，但是根據 FBI 招標要求，Babel X 軟件應該具備對“至少七種外語”的搜索及翻譯能力，同時，還應具備對某一設定地理區域的搜索，對發帖人的關聯分析、情緒分析、表情分析、預測分析、機器探測等備選功能。

 

（八）以色列 NSO 公司間諜軟件采購事件

 

2022 年 5 月 12 日，美國《紐約時報》報道稱，2018 年，FBI 購買以色列網絡安全企業 NSO 間諜軟件“飛馬”。據報道，當時代表美方簽約的是一家名為“埃及豔後控股”的美國公司，其背後的實際所有者是政府承包商“黎瓦網絡”。