《棱镜》后美国网络监控停了吗

 

 

 

 

 

“棱镜”后持续曝出美国网络监控活动和事件。

 

“棱镜”被曝光之后的十年间，仍不断有令人震惊的美国监听、监控项目被曝出，进一步揭露了美国情报机构无孔不入，将黑手伸向行业标准、软硬件供应链上游、大型平台服务器、移动设备等目标通过植入木马、预置漏洞、入侵通信链路、使用间谍软件等手段，不断强化情报获取能力。“棱镜”之后被曝出的影响较大的美国监控活动和事件梳理如下。

 

（一）“奔牛”计划：破解互联网密码污染加密标准

 

2013 年 9 月，英国《卫报》和美国《纽约时报》报道斯诺登披露的 NSA “奔牛”计划（BULLRUN），曝光 NSA 能够破解广泛使用的在线协议，包括HTTPS、VoIP 和安全套接层（SSL）等。NSA 的备忘录显示，NSA 每年花费 2.5 亿美元在软件和硬件中插入后门，且其破解特定网络通信技术加密的能力涉及多个非常敏感的来源。NSA 将该破解加密项目描述为“美国保持不受限制地访问和使用网络空间的入场券”。

 

“奔牛”计划是美国情报界“信号情报赋能计划”（SIGINT Enabling Project）的重要组成部分。被曝光的该项目绝密预算文件显示，与科技公司“合作”是该计划的重要手段，通过“积极与国内和国外 IT 企业合作，暗中影响和/或公开利用其商业产品的设计”“将漏洞插入商业加密系统”。参与此类合作的公司均未具名，这些细节具有更高级别密级。

 

2013 年 12 月，路透社刊文《连接 NSA 与安全产业先锋的秘密合同》称，美国国家标准与技术研究院（NIST）2006 年正式发布的 SP 800-90 标准中推荐的确定性随机位发生器（Dual_EC_DRBG），确实存在 NSA 的后门。在 NIST 将 Dual_EC_DRBG 加密算法纳入标准之前的 2004 年，NSA 支付 1000 万美元与加密技术公司 RSA 达成秘密协议，使具有 NSA 漏洞的 Dual_EC_DRBG 作为 BSafe 加密库中首选的默认随机数据生成算法，助其开展大规模监控。美国研究人员证实，因为该算法漏洞的存在，“利用单个 CPU 或计算集群只需花费数秒或数十秒，就可以获得通信密钥”。英国《卫报》2013年评论称，“NSA 的做法已经动摇了整个互联网的信任基础”。

 

（二）“风挡”计划：入侵雅虎和谷歌数据中心

 

2013 年 10 月 31 日，美国《华盛顿邮报》和《纽约时报》同步曝光英国政府通信总部（GCHQ）和 NSA 联合实施的监控项目“强健”计划（MUSCULAR）。通过斯诺登披露的文件和知情人士提供的信息，媒体揭露了 GCHQ 和 NSA 通过美国电信运营商 Level 3，秘密侵入连接雅虎和谷歌数据中心处于英国的主要通信链路 DS-200B。在 2012 年 12 月至 2013 年 1 月的 30 天内，“强健”计划收集了 1.81 亿份记录，远远超过“棱镜”计划每天收集的上百万数据。但是，这一数据较之“香炉”计划（INCENSER）还是相形见绌，该计划同期 30 天内收集了超过 140 亿份记录。

 

“强健”与“香炉”均为“风挡”计划（WINDSTOP）的子项目，是 NSA 与所谓“可信第二方”（Trusted Second Party）“五眼联盟”（FVEY）情报机构合作的监控项目，旨在监控欧洲和中东地区的通信。

 

“香炉”计划的监控目标为连接北美东海岸至英国、法国以及连接亚欧的两条海底光缆，在英国大东电报局（Cable & Wireless）的支持下，在英国康沃尔监控接入点进行数据拦截。海底光缆数据流通过海量压缩（MVR）进行过滤后提取，除通话外，所有类型的 IP 流量，如 VoIP、电子邮件、web 邮件和即时消息等都被重构，存储在 NSA 的服务器上供情报人员进行搜索、分析。据《卫报》报道，2011 年，GCHQ 处理了 4 万个目标，NSA 处理了 3.1 万个目标。另据被泄露的 GCHQ 文件，由于涉及的光缆运营商印度信实通信公司并非“五眼联盟”合作伙伴，无法直接暗箱操作，所以为获取情报，从 2009 年开始，进行代号为 PFENNING ALPHA 的网络黑客攻击以便获取情报。

 

（三）“怒角”计划：劫持谷歌和三星应用商店感染智能手机

 

2015 年 5 月 21 日，加拿大广播公司与英国《卫报》同时刊文，揭露 NSA 与“五眼联盟”实施的“怒角”计划（IRRITANTHORN）。此前，斯诺登披露的文件已显示，“五眼联盟”成员国有关机构为苹果和安卓智能手机设计了间谍软件。这些间谍软件在感染目标手机后可获取电子邮件、文本、网络历史记录、通话记录、视频、照片以及所存储的其他文件。“怒角”计划则揭示了这些机构如何“利用”应用程序商店服务器发起“中间人攻击”。

 

2011 年 11 月 至 2012 年 2 月，“五眼联盟”情报机构多次开会研讨、确立行动方案，通过使用 NSA 的 XKEYSCORE 分析识别流经互联网光缆的智能手机流量，破解和劫持手机用户与谷歌和三星应用程序商店的连接，向目标手机发送间谍软件，收集数据。

 

XKEYSCORE 是斯诺登曝光的一项 NSA 绝密项目。2013 年 7 月，《卫报》曾对其进行了较为详细的报道。该计划最初是采集和分析邮件和浏览器活动，并建立庞大的“指纹”系统，后来发展为几乎覆盖 VoIP、社交聊天等所有网上活动的监视和分析系统。XKEYSCORE 被称为 NSA 的“谷歌系统”。NSA 在全球 150 个地点设置超过 700 个服务器支持该项目运作。大数据公司 Palantir 的海量数据分析和可视化分类服务，对该系统给予了有力支持。

 

（四）“拱形”计划：监控网络安全厂商

 

2015 年 6 月 22 日，美国多家媒体网站“拦截者”“连线”“福布斯”等同步报道“自由斯诺登”网站当天曝光的 NSA 绝密文档《轻松获胜：利用信号情报了解新病毒》，披露美国情报机构对全球网络安全厂商实施的“拱形”（CAMBERDADA）计划。

 

通过对俄罗斯卡巴斯基等反病毒厂商和用户间通信的监控，美国情报机构获取新病毒样本及其他相关信息，并据此开发网络攻击武器。该计划可能始于 2007 年，由 NSA 下设机构信息保障局（IAD）和威胁行动中心（NTOC）执行。除卡巴斯基外，该计划后续目标涉及欧洲和亚洲 16 个国家的 23 家全球重点网络安全厂商。美国迈克菲（McAfee）、赛门铁克（Symantec）和英国守护士（Sophos）均不在目标名单之上。分析认为，该计划服务于美国主导的“五眼联盟”国家情报机构，所列目标为其他国家有能力发现和遏制美国情报活动的安全厂商“黑名单”。

 

“连线”刊发的文章称，“拱形”计划是一个系统性的恶意软件检测“逆向工程”。NSA 每天从发送至卡巴斯基的数十万个恶意样本中筛选出 10 个进行分析，检查卡巴斯基杀毒软件对这些恶意样本的响应，在确认尚未被纳入检测的样本后，NSA黑客会“改造恶意软件”供自己使用，并定期检查卡巴斯基是否将其纳入病毒库。

 

（五）“宝库”/“界限”计划：操控瑞士加密机公司 Crypto AG

 

2020 年 2 月 11 日，美国《华盛顿邮报》、瑞士德语广播电视（SRF）和德国电视二台（ZDF）联合发布调查报告，曝光 CIA 与德国联邦情报局（BND）在二战以来数十年间，通过控制全球最大加密设备制造商瑞士 Crypto AG 公司，窃取全球多达 120 个国家的最高机密。

 

媒体通过采访多名匿名情报部门官员及 Crypto AG 公司员工，揭露了这一长达数十年窃密行动的真相。1951 年，Crypto AG 公司与美情报部门达成秘密协议，即最先进型号加密设备只对美国批准的国家出售，以此得到高达 70 万美元的损失补偿；1967 年，Crypto AG 公司推出取代机械加密的新一代电子加密机，但其内部工作原理完全由 NSA 密码学家设计；1970 年，美德情报机构联手收购了Crypto AG 的股份，完全控制了该公司的业务运营、员工雇佣、技术设计及销售对象。该行动最初代号为“宝库”（THESAURUS），直到 20 世纪 80 年代被改为“界限”（RUBICON）。

 

各国本欲使用密码机保护的通信情报在美德面前成了高价定制的“皇帝新衣”。《华盛顿邮报》报道称，20 世纪 80 年代，NSA 破解的外交通信情报中，大约 40% 来自 Crypto AG 加密设备。可以说，Crypto AG 加密机决定了二战后许多重大历史事件走向。CIA 文件显示，在伊朗与伊拉克长达十年的战争期间，美国情报机构截获了伊朗发送的超过 1.9 万份加密通信，这些情报对美国而言“可读性为 80％到 90％”。

 

（六）“邓哈默行动”：接入丹麦海底光缆监听欧洲国家

 

2021 年 5 月 31 日，丹麦广播公司（DR）率先报道，德国《明镜周刊》、英国路透社、阿拉伯半岛电视台、今日俄罗斯等媒体转载，披露 NSA 在 2012 年至 2014 年间与丹麦国防情报局（FE）合作的情况，他们通过接入海底互联网光缆，对法国、德国、挪威和瑞典的高级官员的移动电话、电子邮件、聊天信息等进行监听、监视，目标包括德国时任总理默克尔以及外长、财政部长等。此项行动代号为“邓哈默行动”（Operation DUNHAMMER）。

 

丹麦因其地理位置而拥有数座连接德国、瑞典、荷兰、挪威和英国的海底光缆关键着陆站点。NSA正是利用其优势资源，通过监听海底光缆针对性检索，使用 XKEYSCORE 分析系统，截获了欧洲多国官员的通话、短信和网络信息。

 

除丹麦外，2020 年 11 月 和 2021 年 5 月，欧洲媒体也连续披露 NSA 通过网络监控海底光缆对法、德等欧洲盟友进行窃密的丑闻，包括监控意大利的三条海底光缆、日均监控 200 万个法国通信活动和 1 亿多个德国通信活动等。

 

（七）社交媒体监控软件 Babel X 采购事件

 

2022 年 4 月 5 日，美国《华盛顿邮报》报道，FBI 与 Babel Street 公司签订了高达 2700 万美元的创纪录软件服务合同，购买 5000 份 Babel X 软件的使用许可，强化 FBI 对社交媒体内容的搜索与追踪能力，扩大开源情报来源。该合同于 2022 年 3月 1 日生效，持续 5 年。

 

FBI 表示，此份采购为了能够从“推特、脸书、Instagram、YouTube、LinkedIn、Deep/Dark Web、VK 及 Telegram”等社交媒体软件或网站获取信息。事实上，FBI 监控清单上还包括 8Kun、Discord、Gab、Parler、Reddit、抖音及微博等。5000 份许可证可以使 FBI 每月搜索大约 2 万个关键词。

 

虽然合同具体细节不为外界所知，但是根据 FBI 招标要求，Babel X 软件应该具备对“至少七种外语”的搜索及翻译能力，同时，还应具备对某一设定地理区域的搜索，对发帖人的关联分析、情绪分析、表情分析、预测分析、机器探测等备选功能。

 

（八）以色列 NSO 公司间谍软件采购事件

 

2022 年 5 月 12 日，美国《纽约时报》报道称，2018 年，FBI 购买以色列网络安全企业 NSO 间谍软件“飞马”。据报道，当时代表美方签约的是一家名为“埃及艳后控股”的美国公司，其背后的实际所有者是政府承包商“黎瓦网络”。