漏洞利用行業調查

信息安全公益宣傳，信息安全知識啟蒙。

教程列表見微信公眾號底部菜單

在外界人士看來，Azimuth Security就像是一個普通的初創企業一樣。大家可以在推特上看到這家公司聯合創始人發布的照片，一位穿著T恤的員工正在一間有玻璃幕牆的會議室，桌上還擺放著一套當下流行的國際象棋。但大家有所不知的是，這一家澳大利亞的小型企業，在協助警方工作和協助進行諜報活動中發揮了至關重要的作用。

正是這樣鮮為人知的企業，在不斷執行著秘密監視服務，他們的身份可以是軍方承包商、個體研究員，或者是Azimuth這樣的企業。儘管這一行業通常被認為比較混亂，大量僱傭臨時技術人員，按照一定的價格售賣黑客工具。但是，充分的情報向我們描述了一個被忽視的團體——專註於向民主政府提供服務的黑客企業。

這些企業會保持低調，他們不會在任何展出上宣傳自己公司的產品，也不會將這些信息發布到公開的網站上。但是，他們始終在向警方和情報機構出售黑客軟體。

由於涉及到敏感的行業細節，本文中不會體現這些消息來源透露者的姓名。

客戶清單

在漏洞利用行業，除了技術過硬之外，Azimuth能領先於其他企業的一大重要原因就是他們所擁有的客戶。這一點得到了多個消息來源的證實。

有三位熟悉該企業的消息人士表示，Azimuth通過其合作夥伴，向所謂的Five Eyes成員提供漏洞利用方式。Five Eyes是一個由美國、英國、加拿大、澳大利亞和紐西蘭共同組成的全球情報分享組織，而Azimuth的合作夥伴Linchpin Labs是一家由前Five Eyes高層創立的軟體企業。

熟悉該企業的消息人士特別提到了澳大利亞信號局（Australian Signals Directorate），他指出，Azimuth為該局提供了澳大利亞定製版本的NSA漏洞利用工具，使得澳大利亞政府也擁有了和美國相同的網路攻擊能力。此外，還有消息源聲稱英國和加拿大政府同樣也是Azimuth的客戶。

此外，Azimuth還掌握蘋果和安卓設備的0-Day遠程攻擊漏洞。

有關這一消息，澳大利亞信號局不予回應，英國政府通訊總部（GCHQ）表示「不會向外界披露業務運作方式或合作關係」，加拿大通訊安全機構（CSE）稱「沒有許可權評論他們所擁有的能力和運營方式」，但加拿大強調他們的運營方式是完全合法的。

有兩名消息人士稱，Azimuth也與美國聯邦調查局進行合作。同時聲稱，一名Azimuth專家已經向聯邦調查局提供了一個Tor瀏覽器的漏洞利用方式，他們擁有一個修改後的火狐瀏覽器可以直接連到暗網之中。由於Tor的工作原理，用戶的流量會經由世界各地的多台計算機，然後才連接到用戶試圖訪問的站點或服務，這樣一來執法機構就難以確定目標所在的位置。但藉助這樣的漏洞利用方式，執法機構就能夠繞過Tor的保護，輕鬆追蹤嫌犯。美國司法部的一位高級官員曾經抱怨過Tor瀏覽器和加密演算法直接創造了一個「無法無天的地帶」，但假如擁有這樣的工具，美國政府便可以對這些地帶進行管控。

我們向聯邦調查局進行了求證，他們的答覆是：「聯邦調查局不會向外界披露刑事調查中所使用的具體工具或技術」。

針對iOS和安卓的0-Day漏洞

根據六位消息人士的共同證實，Azimuth還提供蘋果和谷歌0-Day漏洞的利用方式。

舉例來說，其中的一個漏洞是利用特殊設計過的簡訊來攻破iPhone，還有一個漏洞是利用Google Chrome瀏覽器中的漏洞藉助惡意網站感染設備。其中的一些攻擊根本不需要用戶交互，這就意味著政府完全可以在無聲無息中接管目標對象手機的許可權，還有一些僅需要用戶點擊一個鏈接。如果廠商發現他們的產品存在安全漏洞，他們可能會立即對漏洞進行修復，從而使漏洞利用效率下降。因此對攻擊者來說，0-Day漏洞的價值是無可比擬的。因此，一些黑客（包括一些政府僱傭的黑客）的目標就是將漏洞儘可能久地維持在0-Day。

Azimuth的漏洞利用方式可能會被用於破獲恐怖主義案件，也可能會用於破獲綁架或兒童色情案件。

一位熟悉該企業的消息人士說：「執法機構通常認為他們是友好的，如果執法機構在破獲案件中遇到了瓶頸，在法律支持的前提下，就會請該企業來幫忙」。

同時，還有兩位消息人士表示，Azimuth也有用來遠程竊聽iPhone和Android設備的0-Day漏洞。

事實上，Azimuth僱傭了一群全世界最厲害的iPhone黑客。在2016年的Black Hat大會上，Azimuth的研究人員展示了他們針對Secure Enclave Processor（蘋果設備上保護用戶數據安全的機制）的破解成果，這一機制會用來處理加密密鑰和用戶的指紋數據。其中的一位演講者是著名的iPhone越獄研究人員，他近十多年來始終在研究iOS系統。

在這個高層次的漏洞利用開發領域中，Azimuth、情報機構和矽谷之間始終有著千絲萬縷的聯繫，而這三個組織都希望能將可以破解最新設備的黑客招至麾下。

據消息人士透露，在去年，Azimuth僱傭了許多NSA的漏洞研究人員。根據這些人員的LinkedIn個人資料，至少有一名Azimuth員工曾在美國國防部擔任「能力開發專家」。

另一位Azimuth員工的上一家就職企業是蘋果公司，在那裡他並不負責攻擊系統，而是負責讓系統變得更安全。

從Azimuth的研究團隊到管理層，這樣的專業素質都得到了延伸。最為Azimuth的聯合創始人之一，Mark Dowd是漏洞利用開發界的重量級人物。同另一位聯合創始人John McDonald一起，Dowd寫了一本關於如何發現計算機漏洞的1200頁著作，其中涉及的技術內容非常高深。2015年，Dowd在Silent Text中發現了一個安全問題，該軟體是企業付費購買的加密消息程序，根據我們通過美國《信息自由法》獲取到的信息，海軍特種作戰司令部也在使用這一軟體。

我們試圖採訪Dowd，但他拒絕討論在Azimuth從事的工作，後續也沒有回復我們的電子郵件。

連接客戶的橋樑

Azimuth的Five Eyes客戶名單也讓其他同類企業羨慕不已。正如我們之前所報道的那樣，以色列NSO集團正在試圖收購美國的承包商，以擁有更好的政府間關係。0-Day漏洞中間商Zerodium最近也在試圖打入美國市場，有許多類似公司的前在代理商客戶會在高端展會上展示並炫耀自己的產品。

Azimuth他們根本不需要為自己打廣告，因為他們與情報機構之間有一座連接的橋樑。三名消息人士披露，這座橋樑正是Azimuth的分銷商，由前間諜經營的一家更隱蔽的公司Linchpin Labs。根據公開的商業記錄，Daniel Brooks、Matthew Holland和Morgan前任負責人現在擔任Linchpin各個分支機構的負責人。我們共擁有五個消息來源，能夠證明Azimuth與Linchpin之間的關係。

Linchpin Labs沒有回應我們的採訪請求。

目前網路上幾乎沒有關於Linchpin的公開信息。2007年，有少數科技媒體在新聞報道中提到過Linchpin曾經發布過一個Windows工具，它允許用戶將未經授權的軟體安裝在一台主機上，這被視為是一個黑客工具，並招致了微軟的反對。根據網上查找到的一些合同，Linchpin為澳大利亞聯邦警察局（AFP）和澳大利亞國防部提供了「培訓」。

根據《信息自由法案》，我們向美國聯邦調查局和國家安全局提出了公開信息請求，但都遭到駁回。我們還和紐西蘭情報機構時任主管、政府通信保安局的Una Jagose進行了溝通，他表示：「我既不確認也不否認你所詢問的信息是存在或是不存在」。

根據LinkedIn上體現的信息，Linchpin許多員工和開發人員都位於渥太華。當我們通過社交媒體嘗試聯繫Linchpin的開發人員時，他們看起來十分驚慌，隨後從自己的社交網路檔案中刪除了自己的公司信息。

Linchpin告訴自己的客戶，不要在代理商之間共享工具，他們還會在某些情況下幫助客戶調整或修復他們的Payload。他們所提供的惡意軟體會滿足客戶一切的需要：遠程打開手機的麥克風或相機、收集存儲在計算機上的文件、閱讀消息。惡意軟體對於繞過Telegram或WhatsApp等應用的消息加密特別有幫助，它可以在應用程序進行加密之前就獲取並記錄到相應消息。

Azimuth的共同創始人Dowd非常關心他們的客戶是誰，因此這些漏洞只會賣給相對較少的客戶。在這一領域的其他廠商往往並不關心客戶，只關注利潤，而Dowd與他們相反。有兩位消息人士證實了Dowd的這一決策方式。

行業情況

Azimuth和Linchpin在0-Day和相關軟體交易領域產生了廣泛影響，但它們仍然只是跨行業的一部分。

研究和開發0-Day漏洞一開始主要是在地下黑市，然後發展成為了一種商業，但時至今日，它已經發展成為一個競爭激烈的專業化市場。

Kevin Finisterre是一位在21世紀初非常有名的漏洞利用開發者，他表示，他最一開始開發漏洞是為了好玩，直到有人告訴他他可以藉此牟利。多年來，Finisterr一直在開發並售賣漏洞，但他在10年之前突然意識到這一問題，然後金盆洗手。

Finisterre向我們表示：「當時的一切都是以研究為中心的，而我們的研究成果恰好是有價值的。現在，人們都知道這個東西是有價值的，所以價格也水漲船高。」

獨立安全研究員Sergio Alvarez曾經是一名自由職業者，也是一名0-Day漏洞銷售商COSEINC的員工，他表示「在以前很容易開發漏洞」。一些像Alvarez這樣的安全研究人員可以自行開發，然後出售給代理機構或向政府提供這些漏洞的公司。

但隨著主流計算機和軟體開發者不斷加強自身產品的安全性，黑客行為變得越來越困難。現在，開發Chrome等現代瀏覽器或者像iOS這樣的移動操作系統的漏洞，可能需要一組研究人員來完成，每個研究人員必須具有獨特的技能來利用漏洞，一些攻擊可能需要幾個月才能完成。

網路安全公司Exodus Intelligence的總裁Logan Brown告訴我們：「由於許多漏洞都具有緩解方式，現在可能需要多個漏洞才能成功攻破目標。Exodus向客戶出售有關0-Day的信息，以便他們可以保護自己的網路，但也向執法機構出售了攻擊方式的細節。

隨著軟體和硬體的安全性越來越高，0-Day的價格也飛速上漲。據一位消息人士透露，iOS11設備（目前最新的iPhone操作系統）無需目標交互即可獲取許可權的完整遠程利用鏈能夠獲得超過200萬美元的利潤，並且這一價格還在不斷上漲。

相比之下，Firefox的遠程利用漏洞可以賣到20萬美元，Tor瀏覽器的相關漏洞可以達到15萬美元或25萬美元，Chrome瀏覽器一個用於讓攻擊者逃離該程序沙箱的漏洞價值在50萬到100萬美元之間。上述數據來源於熟悉市場的消息人士。

由於目前，許多用戶都會將加密作為自己的默認選項，這使得截取消息和破解硬碟比以前更加困難，因此0-Day交易就變得更加重要。蘋果和谷歌默認開始加密他們的iOS和Android操作系統，Apple、Facebook以及像Signal、Telegram、Surespot這樣的應用程序都提供了加密的消息服務。

約翰·霍普金斯大學戰略研究教授Thomas Rid告訴我們：「使用WhatsApp和iMessage完成的數十億用戶的默認端到端加密對攻擊者來說是一個極大的挑戰。他們無法通過攔截網路上的通信來竊聽消息，需要在加密之前找到可靠的消息來源，也就是通過直接攻破手機、計算機設備的方式。

聯邦調查局已經撥款數千萬美元，來打擊這個所謂的「黑暗」問題。司法部反覆建議技術公司部署後門，從而使機構更有保障地訪問加密消息或硬碟驅動器。

英國政界人士也在抱怨同樣的問題，儘管他們不承認自己確實擁有並使用黑客能力。 GCHQ發言人說，該機構對加密的立場是明確的：「加密對計算機安全非常重要，GCHQ主張在英國使用加密，作為良好網路安全實踐的一部分。」

以出售坦克、噴氣式飛機或其他武器為主要業務的傳統軍事承包商，也已經進入黑客的領域。這些大公司與政府機構簽訂長期合同，而不是像許多小型的0-Day開發商一樣，按照每個漏洞利用方式來付費。

現在，有許多企業只專註於向全球的情報和執法機構提供漏洞攻擊方式和黑客工具，通常會通過客戶支持和附加產品的方式，從目標設備提取信息。他們提供了一種黑客攻擊的服務，而不是產品。其中最著名的是義大利黑客團隊、德國FinFisher和以色列NSO集團，但市場上也出現了一些低質量的產品，如德里的Aglaya和Wolf Intelligence。其中還有一些產品，可以讓使用者連接到間諜軟體市場，普通人可以從中購買基本的惡意軟體。其中許多公司的客戶名單存在爭議，他們會服務於包括蘇丹、衣索比亞和俄羅斯等人權紀錄嚴重的國家。

以色列公司Cellebrite會為警察提供用於解鎖加密iOS設備的工具，從而協助警方破獲案件。一位消息人士在談到這個漏洞利用行業時，對我們說：「這些企業正在向有權使用這些軟體的人們銷售軟體產品，他們並沒有將其賣給惡意行為者。」

除了Azimuth之外，另一家該領域同樣比較知名的公司是Immunity Inc.，這是一家由NSA前職員Dave Aitel創立的公司。這一級的公司只會與美國政府合作，而其他公司只與Five Eyes機構合作。公司可能會公開聲稱他們從事安全顧問的相關工作，為如何阻止黑客提供建議，同時為政府開發工具，而不會或很少公開地談論公司的其他秘密。

一位消息人士說：「幾乎所有的小企業都為他們的漏洞利用工作提供了某種掩護。

Azimuth的網站向客戶宣傳「安全評估」和「滲透測試」，並表示這是一家「信息安全諮詢公司，專註於為客戶提供最佳技術服務」。

Linchpin的網站沒有明確提及公司的客戶類型或其銷售的產品。它表明，該公司在澳大利亞、加拿大、英國和美國設有辦事處，並表示Linchpin提供「軟體領域的專業知識和能力，通常涉及到複雜的問題」。英國商業資料庫記錄公司之家稱，Linchpin進行「商業和家庭軟體開發」。

GIF

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！