全球间谍软件行业为何持续繁荣 ： 趋势、解释和应对措施

工作纸 2023年3月 为什么全球间谍软件工业继续繁荣？ 趋势，解释，和响应 史蒂文·费尔德斯坦和布莱恩·科特 为什么全球间谍软件工业继续繁荣？ 趋势，解释，和响应 史蒂文·费尔德斯坦和布莱恩·科特 ©2023卡内基国际和平基金会。保留所有权利。 卡内基在公共政策问题上不采取机构立场；本文所代表的观点是那些作者(S)的观点，不一定要反映卡内基、其sta或其受托人的观点。 不得以任何形式或任何方式复制或传播本出版物的任何部分卡内基国际和平基金会的书面许可。请直接询问： 卡内基国际和平基金会出版部 1779马萨诸塞州大道西北 Washington,DC20036 P:+12024837600 F:+12024831840 CarnegieEndowment.org 可在CarnegieEndowment.org上免费下载。 Contents Summary1 Introduction5 政府何时允许使用间谍软件？6 商业间谍软件和数字取证的全球背景8 数字取证：不同的工具，类似的结果11 解释全球间谍软件的弹性和12 数字取证行业 设置限制17 附录一全球商业库存21 间谍软件和数字取证技术 关于作者27 Notes29 卡内基国际和平基金会35 Summary 全球间谍软件和数字取证行业继续增长，尽管公众强烈反对 在一系列监视丑闻之后，许多丑闻与NSOGroup的Pegasus计划有关。是论文探讨了商业间谍软件市场的弹性，并提出了关于 如何限制侵入性网络监视工具的传播。它强调了几个因素推动行业发展，包括政府对入侵技术的需求增加 客户和私人客户，以及来自民主政府的不一致的政治意愿- 打击这些技术的措施。 关键见解 •在2011年至2023年之间，至少有74个政府与COM-根据数据，商业均方根获得间谍软件或数字取证技术由卡内基全球商业间谍软件和数字取证清单收集 (https://data.mendeley.com/datasets/csvhpkt8tm/10). •专制政权更有可能购买商业间谍软件或数字软件 取证比民主国家更重要：44个政权将归类为封闭的独裁国家或选举独裁政权在2011年至2011年之间采购了有针对性的监视技术 2023年，与30个选举民主国家或自由民主国家形成对比。 11 •以色列是间谍软件和数字取证工具的主要出口国 全球库存：在74个政府中，有6个政府采购了- 基于RMS的商业间谍软件和数字取证技术 在以色列或与以色列有联系，例如NSO集团，Cellebrite，Cytrox和Candiru 。 •除了顶级商业间谍软件供应商，如NSOGroup和Cytrox，有一个新兴的二级供应商，由精品间谍软件组成 □均方根、黑客夜间操作、利用经纪人和类似的团体。作为大商业RM面临来自民主政府的更严格审查 实践中，开源和商业上的相应增加 可用的恶意软件。这些趋势使政府和私人 演员发动攻击，并允许他们隐藏在开源代码的“噪音”中并获得合理的否认。 •对入侵技术的持续高需求有助于 商业间谍软件和数字取证市场。即使一个供应商受到制裁， 对于其他供应商来说，ll处于空白状态是有充分的财务动机的。我们的数据集表明，政府已经从从旧的采购间谍软件过渡到 供应商，如FinFisher和黑客团队，与替代品签约，如作为NSO集团，Cytrox和Candiru。 •民主政府在解决人权问题上一直前后矛盾 间谍软件启用的滥用。在欧盟(EU)，网络安全公司- NIEs利用监管碎片化在成员国建立OCs 众所周知，出口管制的实施很薄弱。例如，NSOGroup 在保加利亚和塞浦路斯设立子公司，以促进其产品的销售。Intellexa拥有许多监视均方根，包括Cytrox和Circles，在塞浦路斯、希腊和马耳他建立了立足点。欧盟应该推动更多在治理方面的一致性和最低执行标准 侵入式技术的许可和出口。 •间谍软件公司通常通过创建复杂的公司来掩盖自己的踪迹结构混淆他们的法律注册，他们受什么法律约束，以及他们的客户是谁。欧洲、以色列、美国和其他国家的政府相关司法管辖区应加强政策和监管合作 间谍软件.ey应该改善他们的信息共享，并创建统一的regis- 网络监控均方根的尝试。 •最近的发展——比如2021年NSO集团在美国被列入黑名单，这将RM推向了破产的边缘--说明了经济杠杆是如何 可以迫使该行业考虑侵犯人权的后果。美国应寻求在以下方面使实体清单多边化 间谍软件公司。一个很好的起点是向欧洲国家施压 建立平行实体列表，并类似地制裁NSOGroup、Candiru和相关均方根。 •美国应该重新考虑其目前对数字的宽松做法取证和数据提取技术。研究人员已经记录了两千个获得数字取证的美国执法机构 technologytoinvestigatecriminalcases.WhilethesetoolsrequiresphysicalConscatingatarget’sdevice,thelevelofintrensivenessiscomparabletoifnot 比远程间谍软件技术更大。像间谍软件，电话提取 启用对les和消息的完整、追溯访问，以及有关过去的元数据 communications. •作为间谍软件的主要出口国，以色列并没有将人权放在首位。其出口许可制度中的考虑因素。美国和其他国家- Cies应继续利用经济和外交手段向以色列施压将商业间谍软件交易限制在侵犯人权的国家。 Introduction 2021年，16家媒体成立了一个名为Pegasus项目的财团，以投资- 由以色列RMNSO集团许可的门军用级间谍软件。财团中的两个合作伙伴，禁止故事和大赦国际，已经获得了fty列表 被国家统计局客户“选择作为目标”的数千个电话号码。e集团- 对数字进行分析，并将其与特定的c个人和黑客进行匹配。 damning.Fromtheoriginallist,analystsidentifiedoveronethousandtargetedindividuals 遍布多个国家。受害者包括“几名阿拉伯王室成员，在 至少65名企业高管，85名人权活动家，189名记者和600多名记者政治家和政府官员-包括内阁部长、外交官和军方 和安全系统。“1至少有十位总理，三位总统和一位国王 在Pegasus目标清单上找到的调查发出了世界各地的冲击波。它助长了公众的愤怒，并迫使美国将NSOGroup列入黑名单-推动RM 到了破产的边缘.2 尽管NSOGroup的未来存在疑问，但整个间谍软件行业仍然相对毫发无损。政府已经转向其他商业RMS来完成他们的监控- 兰斯目标。例如，Cytrox的捕食者间谍软件已成为许多政府，最近成为希腊调查的主题，此前- 政府运营商使用捕食者恶意软件破解记者电话的关闭 AnasisKoukakis和反对党领袖和欧洲议会议员（MEP） NikosAndroulakis.3除了希腊，研究人员发现，国家支持的歌剧- 亚美尼亚、科特迪瓦、埃及、印度尼西亚、马达加斯加、塞尔维亚和西班牙也使用捕食者。4在一个引人注目的例子中，公民实验室的研究人员发现埃及运营商“同时”使用Pegasus和Predator间谍软件来破解 反对派政治家艾曼·努尔的电话。5 这些事件强化了两个核心事实:间谍软件行业比任何一个行业都要大公司，而且政府极有动力购买这些工具，即使冒着风险 公众的强烈反对。 ePegasus项目调查不是雇佣军间谍软件RMS面临的第一次 挫折。在Pegasus丑闻发生前几年，德国的FinFisher和意大利的黑客团队 weredominantplayersinthemarket.Productsfrombothcompanieswerelinkedtosurveil- 兰斯在一系列国家/地区的滥用。在2015年的鼎盛时期，HackingTeam的产品在41个国家使用。6然而，到2022年3月，FinFisher关闭了其业务 由于财务破产，在德国当局和一名陪同人员的突袭之后 调查公司。7至于黑客团队，RM获得了巨大的400千兆- 2015年字节数据泄露事件揭示了“高管电子邮件、客户发票甚至来源”code.”8eRM一直在努力从那一集中恢复过来。它改变了所有权和 将自己更名为MementoLabs，但几乎没有获得新客户。9虽然的消亡FinFisher和黑客团队（以及可能的NSOGroup）表明，公众调查和宣传活动可以是有效的，行业的弹性超出了个人 这些公司的崩溃对削减全球销售几乎没有起到什么作用-估计价值超过120亿美元-其他间谍软件供应商继续争夺政府合同私人客户。10 e论文首先回顾了管理使用的国际法律和政策标准 间谍软件监视。然后，它描述了商业间谍软件和did- 法医市场，并提供了这些工具的全球清单。11e库存评估政府已经收购了商业间谍软件和数字取证技术， 各州如何使用这些工具，哪些公司在销售间谍软件和数字取证， 以及这些均方根的总部所在地。接下来，本文研究了持续的弹性全球间谍软件行业，并讨论了哪些因素使市场得以持续 并在欧盟和以色列等地方茁壮成长。最后，本文讨论了政策回应民主国家可以采取的措施对间谍软件行业施加限制。 政府何时允许使用间谍软件? 间谍软件功能具有极大的侵入性。e软件允许运营商获得远程 访问设备，以便他们可以针对来自世界几乎任何地方的个人。一旦操作员感染设备，该代理获得对所有传感器的完全和不受限制的访问和受感染设备上的信息，有效地将大多数智能手机变成24小时 监控设备”。12黑客行为严重侵犯了隐私权，可以 对受害者来说是一次非常痛苦的经历。间谍软件也是一种恐吓旅程的工具- 黑人，激进主义者和反对派政客，压制媒体报道，恐吓批评家或劝阻政权挑战者参加选举。间谍软件允许代理 “进入政治流亡者的整个网络，而不进入目标的被收养者国家“，同时避免了与传统间谍活动相关的风险。13为此原因是，间谍软件的使用在跨国镇压中占有重要地位。 臭名昭著的案件是流亡的沙特记者JamalKhashoggi在沙特被暗杀 ConsulateinTürkiye.Afterthekilling,investigatorsexaminedthephoneofcloseassociates Khashoggi的，并发现这些设备被Pegasus感染。沙特安全特工很可能利用这些信息来策划和执行Khashoggi的谋杀案.14有限的情况可以证明使用侵入性监视技术是合理的-例如 预防或调查特定的严重犯罪或构成严重威胁的行为 国家安全。国际法认为，有针对性的监视措施应该是- 专门调查涉嫌犯有严重罪行或 威胁国家安全的行为。间谍软件应该作为最后的手段部署，在“减少侵入性措施应该已经用尽，或者已经证明是徒劳的。"15Andthe 间谍软件使用的持续时间和范围应严格限于相关数据。简而言之，在以下情况下，政府应遵守“合法性、必要性和相称性”原则使用网络监控技术。16但是政府很少遵守这些标准。 国家利用国家安全或公共秩序的理由给他们的执法机构- 我们有一个广泛的泊位，可以针对一系列目标部署侵入性软件，而很少考虑到必要性和相称性原则。一旦这些机构获得间谍软件，就有 控制其使用的护栏很少。如DavidKaye，前联合国（UN）特别见解和言论自由报告员写道: 说一个全面的控制和使用系统是不够的 有针对性的监视技术被打破了。它几乎不存在。而人类人权法对使用监视工具提供了denite限制， 国家在不担心法律后果的情况下进行非法监视。人权法框架已经到位，但有一个框架来执行 限制不是。17 从经验上讲，威权国家和民主国家都经常进行非法的反- 监视一系列非法目标——政治对手、多管闲事的记者或 政府批评家。像Pegasus这样的零点击软件，它甚至不需要受害者点击受损链接或安装损坏的le，或使用强大的政治诱惑- icalleaderstoexpandthenetofsurveillance.Whilethereisgr