一名只知道名为“Phineas Fisher”的黑客2014年夏天攻击了因向专制政府出售监视产品而颇受争议的科技监控公司Finfisher,该公司向世界各地执法机构出售监控软件,PhineasFisher向外界揭露了一些该公司的秘密。
秘密包括了该公司的客户名单,以及产品细节。对一些人来说,这将损害公司形象。但Finfisher在一年后的今天仍然存活,也有了独立的公司。实际上,它也有了相比之前报道时更多的客户,数据来源是 多伦多大学芒克全球事务学院的Citizen实验室。
FinFisher将监控技术卖给政府机构,这些技术允许他们进入一个目标的电脑或者手机中,监控目标所有的活动,电话记录,电子邮件或者信息。
“它们已经有了一批稳定的客户。”
今天,至少32个国家是FinFisher的活跃客户,根据 Citizen实验室的研究人员的说法,他们能够识别出来世界各地的FinFisher服务器,尽管该公司日常使用代理,“几乎无法追踪”。为了找到所有这些服务器,研究人员在2014年12月底到今年9月之间,对整个互联网进行了6次全网扫描。
“从结果数据可以看出来,他们有一批稳定的客户”, Marczak说道。
有一些客户是本身就有人权问题记录的国家,例如哈萨克斯坦,孟加拉国,埃塞俄比亚,以及委内瑞拉。在过去,FinFisher的客户,包括巴林王国和埃塞俄比亚被发现针对人权活动人士或者反对派使用间谍软件。
Citizen实验室周四发布的一份报告中写道“FinFisher的客户将购买的产品部署在国家各地。应当关注客户列表,关注这些技术的滥用情况。”
FinFisher并没有对此作出回应。
Bill Marczak带领的研究小组可以使用一些猥琐流技巧找到国家中的服务器,并且从意想不到的来源得到了帮助:FinFisher的竞争对手,意大利公司Hacking Team泄露资料中的一部分。
通过检查PhineasFisher发布到网络上的一些意大利监督承包商的文件, Marczak注意到了一个特定的IP地址。
Marczak回忆道“这个IP地址,真的,真的,真的非常熟悉。”
事实证明,Marczak和他的同事发现的这个IP地址,也在Citizen实验室进行全网扫描发现的FinFisher的服务器列表中,只是不知道它属于谁。这使他产生了一个想法,也许Hacking Team的数据资料中还有更多线索,考虑到两家公司是竞争对手,可能会有一些共同的客户。
一些受害者发现了他们国家政府使用FinFisher的软件监视他们 视频:
事实上,两家公司确实有共同客户。一位HackingTeam前员工透露,曾经一次对印尼军队机构发送电子邮件的演示中,使用的就是FinFisher范围内的服务器。根据该电子邮件演示行动,研究人员推断,那些FinFisher的服务器是印尼军队在使用。
在其他情况下,研究人员会尝试更猥琐的技巧来找出这个IP是谁的。如果直接通过Web浏览器,许多FinFisher的服务器的IP地址都重定向到Google.com,以隐藏它们的真实功能。
“我只是坐着,当成游戏一项进行尝试”,Marczak这样说道,“我试着查询“What’s my IP”,显示出来的结果不同于我的地址栏显示的地址。”
研究人员认为这些IP地址是FinFisher的服务器,或者说,由FinFisher的客户直接控制。
查询的截图,显示了FinFisher主服务器的真实IP地址
还有一些FinFisher的服务器使用Yahoo.com进行隐藏,“What’s my IP”技巧不奏效。但雅虎登录页有天气小部件,研究人员可以根据这个确定FinFisher服务器的真实位置。举个例子,他们发现一个使用立陶宛IP地址作为代理的服务器,而天气显示它的地址实际上是在委内瑞拉的加拉加斯。
研究人员共收集了135个IP地址,确定它们属于FinFisher,但都无法追踪到特定的国家。所以“肯定有更多的客户”,Marczak 这样说道。
研究人员并不担心FinFisher发现他们,因为对他们来说,这就是一场猫鼠游戏。
“作为一个研究人员,你必须通过发布结果,来对现在和未来的影响进行平衡”,他补充道。
这就是为什么研究人员公开了大部分它们发现的IP地址:为了让公众了解到FinFisher和它们客户的信息,包括其他研究人员,记者,负责宣传工作的政府官员。然而,研究人员并没有公开那些没有防火墙的IP地址,因为它们很容易被攻击,可能会影响合法调查。
“我们不希望破坏或干扰合法批准的调查或者其他活动”,研究人员在报告中写道,“但是,要确保公民有一个透明负责的政府。”