新“黑客帝國”：政府的雇傭兵？

朱煒

NSO集團

作為手握重權的沙特阿拉伯高官，當沙特·卡塔尼想要監視那些“威脅王國安全”的人士時，他知道該去尋求誰的幫助：一家名為NSO集團的公司。

雖然NSO集團位于以色列，但在需求面前，沙特政府欣然放下了對多年宿敵的介懷。依賴NSO集團的幫助，時任沙特王儲高級顧問的卡塔尼在2017年底開始了一場世界范圍內對異見人士的追蹤。而這場大規模監控行動的成果之一，正是記者賈邁勒·卡舒吉的遇害——2018年10月2日，他在沙特駐伊斯坦布爾領事館中被殺，釀成了這個石油王國近年來最大的丑聞。

沙特與NSO集團的合作不止一例。在與其員工交流的過程中，卡塔尼曾提到，他計劃在土耳其、卡塔爾等中東國家以及法國、英國等歐洲地區廣泛使用該公司的監控設備。

這是數字戰爭新時代的一個縮影。這個時代幾乎無規則可言，即使是最小的國家也能購買間諜系統。這些系統幫助他們進行電子竊聽，甚至影響選舉——而這些，過去曾是美國、俄羅斯等大國的專利。

甚至，情報行動不再是政府部門的特權，普通民眾也可以花錢購買服務，無論他擁有一家想要嗅探競爭對手秘密的公司，還是與人結了怨。

如今，間諜雇傭市場發展迅速，已成為價值120 億美元的龐大產業。NSO集團之外，還有“暗物質”、“黑色方塊”、“精神集團”……這些私人情報機構大多位于中東，能夠協助政府打擊恐怖組織和販毒集團，但在某些情況下，它們也會瞄準活動人士和記者，推動一些更為骯臟的政府行為。

“走出黑暗”

作為私人情報界的翹楚，NSO集團的業務遍及世界各地——通過為六大洲的幾十個國家工作，NSO集團獲利數億美元。

但在此之前，它只不過是以色列北部一家不起眼的小公司。2008年，沙萊夫·胡里歐和奧姆里·拉維這對高中好友創辦了NSO集團，最初的目標相當平凡：利用情報機構Unit8200——相當于以色列版的美國國家安全局（NSA）——開發的技術，協助手機公司遠程控制顧客的設備，以方便維護。

可當這個消息傳到西方間諜機構的耳朵里，事情變得復雜了起來。那些機構的特工從中看到了一個絕佳的商機——當時，美國和歐洲各國政府對蘋果、Facebook、谷歌等科技巨頭發出警告，稱它們開發的技術為犯罪分子和恐怖分子提供了一條加密的溝通渠道，各國情報及執法機構無法破譯其中內容。這個現象被稱為“走向黑暗”（going dark）。

而胡里歐和拉維的方法讓“走出黑暗”成為可能：在數據被破譯后，對通訊中端——即手機——發起黑客攻擊。

到2011年，NSO集團已經研發出了第一代移動設備監控軟件——“珀伽索斯”（Pegasus），希臘神話中美杜莎與海神波塞冬所生的飛馬。

與希臘的馬神相比，NSO集團的這匹“飛馬”可以實現一件看似不可能的事情：遠程獲得智能手機中的大量數據，且不留任何痕跡。無論是電話、短信、電子郵件，還是通過各種應用程序傳輸的數據，全都不在話下。

“一旦這些公司入侵你的手機，他們就占有了它，而你只不過是這部手機的搬運工。”以色列網絡防務公司“凱美拉技術”的阿維·羅森如此評價。

“珀伽索斯”很快為NSO集團招來第一個客戶：正開展毒梟打擊行動的墨西哥政府。《紐約時報》獲得的郵件顯示，截至2013年，NSO集團已幫墨西哥政府的三個部門安裝了“珀伽索斯”，軟硬件估值1500萬美元左右。而墨西哥政府向NSO集團支付了7700萬美元，用于追蹤多個目標人物的一舉一動，及其手機的每一次使用。

在一次有關情報工作的匿名討論中，4位知情人士高度評價了NSO集團的產品，稱其在墨西哥政府打擊販毒集團的戰爭中至關重要。而在先前對“矮子”華金·古茲曼的圍捕行動中，“珀伽索斯”更是居功至偉——這位大毒梟2月被判處終身監禁，目前被收監于美國最為戒備森嚴的監獄里。

首戰告捷，“珀伽索斯”很快就在世界各地打開了“銷路”。NSO集團稱，他們的客戶已遍布南極洲以外的每一片大陸。接受采訪時，歐洲情報和執法官員都對NSO集團贊許有加——他們說，以“珀伽索斯”為代表的產品幫助政府打擊了恐怖組織，對于深入調查有組織犯罪和兒童綁架也多有裨益。

被監視的公民

然而，NSO集團的這位“老主顧”，目的并不單純——買來的黑客工具除了用來打擊販毒，還被墨西哥政府廣泛用于政府監控和行業監督。《紐約時報》和多倫多大學公民實驗室的調查顯示，依靠NSO集團的產品，墨西哥政府至少追蹤了20多名普通公民。他們之中，既有記者、政府批評人士，也有負責解決43名學生失蹤之謎的國際調查人員，甚至還有汽水稅的支持者。

被盯上之后，這些“目標人士”會收到一系列騷擾短信。這些短信里藏有惡意軟件，還包含著惡意滿滿的內容：有的捏造謠言，稱對方的配偶有了外遇;有的出言詛咒，提到他們親人的離世。在一起案例中，政府官員入侵一名記者的手機失敗，還將目標轉向了后者16歲的兒子。

NSO集團不承認自己與這類政府行為之間的關聯。在一份聲明中，它表示公司的技術能夠協助阻止全球范圍內的惡性犯罪和恐怖襲擊，但絕不容忍客戶濫用產品，且會“定期審查合同，以確保產品只被用于預防或調查恐怖活動和犯罪這一途徑”。

為了防止潛在的濫用，NSO集團已經成立了一個道德委員會，根據國際組織的相關指標——比如世界銀行的人力資本指數——評估各國的人權記錄，再決定是否出售間諜軟件。土耳其就“敗”在了欠佳的人權記錄上——工作人員告訴《紐約時報》，土耳其不能購買NSO集團的產品。

然而，這樣的規定具體如何執行，仍然有些說不清道不明。比如，墨西哥和沙特阿拉伯顯然是NSO集團的大客戶，但在人力資本指數排名表上，這兩位還不及土耳其。在它們手中，NSO集團的間諜軟件可不只是預防打擊犯罪——據公民實驗室報道，卡舒吉生前最親密的幾名聯系人都是NSO集團軟件的目標，同時不排除卡舒吉本人也是NSO集團監控對象的可能。

雖然這些政府客戶公然濫用公司產品，NSO集團也并沒有放棄與它們的合作。資本的青睞或許為它提供了底氣——2013年，私募資本公司Francisco Partners斥資1.3 億美元收購了其70%的股份;今年2月，在倫敦私募資本公司Novalpina Capital的協助下，NSO集團的聯合創始人又以接近10億美元的估值買回了公司的多數股權。

NSO集團的股價持續飆升，盡管負面新聞層出不窮。

技術的反噬

被NSO集團的成功所感召，大量公司涌入了這片“藍海”。它們爭相招攬曾受雇于美國、以色列和俄羅斯間諜機構的資深黑客，還暗中從對手公司挖人，讓商業競爭也顯得諜影重重。

2017年末，NSO集團高管注意到了公司里的“離職潮”，便雇來私家偵探，調查這一現象。偵探發現，大多數離職員工都去了同一個地方：地中海上的塞浦路斯。在那兒，他們都受雇于同一家研究機構，這家機構又隸屬于“暗物質”旗下的一家公司。

而“暗物質”，正是NSO集團的最大競爭對手之一。它的總部位于阿聯酋，一直在悄悄雇用以色列技術人員，意圖開發技術，對阿聯酋國內和海外進行網絡行動。

和NSO集團相比，“暗物質”的身份有些特殊。從它的選址就能窺見其中奧秘——在連接阿布扎比和迪拜的高速公路上，有一座閃閃發光的大樓，“暗物質”在其中設有辦公室，而同樣在這座大樓里辦公的，還有“信號情報機構”——相當于阿聯酋的NSA。

選址上的相似并非偶然。事實上，“暗物質”就是阿聯酋政府的一個分支，與阿聯酋情報人員直接合作，參與了對土耳其、卡塔爾和伊朗等政府部門的黑客攻擊，以及針對國內異見人士的間諜活動。

《紐約時報》的調查顯示，“暗物質”起源于一家名為“數碼點”的美國公司。這家公司的許多員工都在NSA和其他美國情報機構參與過高度機密的項目。數年前，它獲得政府頒布的許可，與阿聯酋政府簽訂合同，幫助其免受網絡攻擊。

誰料，野心勃勃的阿聯酋政府并不滿足于此。它不斷施壓，迫使“數碼點”員工無視政府的限制，破解加密代碼，并侵入美國服務器上的網站。“數碼點”沒有答應阿方的要求，于是，阿聯酋便自己動手，在2015年成立了一家不受美國法律約束的公司，挖來至少6名“數碼點”的員工，以及前NSA和美國中央情報局（CIA）官員。

“暗物質”誕生了。

“過去的規矩是，一個人離開了NSA，就不會再參加類似的情報行動。但這種行動現在顯然很有市場。”美國安全專家羅伯特·約翰斯通說。他認為，NSA的雇員掌握了大量黑客技術，而NSA有責任確保這些技術在日后不會被用來攻擊美國。

“公司不會監視美國公民”——這是“暗物質”告訴員工的說法。然而這似乎并不是事實。在一項此前未被報道過的行動中，“暗物質”的一家子公司在卡塔爾大規模竊聽手機通訊，其監控網絡就覆蓋了一些美國公民。到了2015年末，該行動開始不時竊聽那些美國人的通訊。而諷刺的是，這個項目的負責人正是一位前CIA官員。

一位“暗物質”前雇員還告訴《紐約時報》，公司曾多次收集美國公民的信息。他表示，這些行動大多涉及為人權組織等外國組織工作的美國人。后者一直對阿聯酋政府持批評態度，因而成為“暗物質”的目標。

法律的困境

2018年，美國富商埃利奧特·布羅伊迪曾起訴卡塔爾政府和“全球風險”（Global Risk）公司，稱它們對自己的公司精心策劃了一場網絡入侵，直接導致了數千封電子郵件的外泄。

“全球風險”是一家來自紐約的公司，由CIA前任官員運營。

在布羅伊迪看來，卡塔爾之所以要雇用黑客對他“下手”，其源頭是“頑固的地緣政治主義”：在特朗普執政初期，他曾督促白宮采取一些不利于卡塔爾的政策，轉過頭來又與卡塔爾的勁敵阿聯酋簽下數億美元的大合同。

法官最終駁回了布羅伊迪的訴求，但這場官司讓越來越多人開始意識到，在這個飛速擴張的高科技戰場上，網絡雇傭兵之間的混戰將會帶來不可預知的危險和混亂。

對于阿聯酋涉嫌監視美國公民一事，在美國司法部的起訴中，華盛頓檢方將重點放在了網絡詐騙和非法對外轉移間諜技術的調查上。然而，檢察官們面臨許多不利因素——由于特朗普政府與阿聯酋關系緊密，有關部門擔心此案會危及兩國的外交關系;美國政府還擔心，更多的深入調查或許會暴露“暗物質”與美國情報機構間的合作細節，令自己陷入難堪的境地。

與此同時，在這個數字戰爭時代，法律的管控能力也不容樂觀。《紐約時報》稱，美國有關情報方面的法律模糊、過時，沒有能力應對技術發展的日新月異。政府確實曾制定法規管理情報人員和軍事人員，對其向外國政府提供信息的范圍進行約束。但那些法規應對的是20世紀的戰爭形式，并未涉及黑客技術。

于是，不論是坐在筆記本電腦前，還是在世界最先進的情報機構里，黑客仍可以待價而沽，把自己的軟件賣給出價最高的買者。因此，只要出得起錢，就可以擁有在數字戰場上拼殺的能力。

而其中的可怕之處，正如數字安全公司卡巴斯基實驗室的首席安全研究員布萊恩·巴索洛繆所說，“越來越多的人進入到這個戰場，但這些新人并不遵守背后的規則——這就好比大街上隨便一個人，拿到了一把軍用級別的武器。”

（韓景薦自《看天下》）