《稜鏡》后美國網路監控停了嗎

《稜鏡》后美國網路監控停了嗎

「稜鏡」后持續曝出美國網路監控活動和事件。

「稜鏡」被曝光之後的十年間，仍不斷有令人震驚的美國監聽、監控項目被曝出，進一步揭露了美國情報機構無孔不入，將黑手伸向行業標準、軟硬體供應鏈上游、大型平台伺服器、移動設備等目標通過植入木馬、預置漏洞、入侵通信鏈路、使用間諜軟體等手段，不斷強化情報獲取能力。「稜鏡」之後被曝出的影響較大的美國監控活動和事件梳理如下。

（一）「奔牛」計劃：破解互聯網密碼污染加密標準

2013 年 9 月，英國《衛報》和美國《紐約時報》報道斯諾登披露的 NSA 「奔牛」計劃（BULLRUN），曝光 NSA 能夠破解廣泛使用的在線協議，包括HTTPS、VoIP 和安全套接層（SSL）等。NSA 的備忘錄顯示，NSA 每年花費 2.5 億美元在軟體和硬體中插入後門，且其破解特定網路通信技術加密的能力涉及多個非常敏感的來源。NSA 將該破解加密項目描述為「美國保持不受限制地訪問和使用網路空間的入場券」。

「奔牛」計劃是美國情報界「信號情報賦能計劃」（SIGINT Enabling Project）的重要組成部分。被曝光的該項目絕密預算文件顯示，與科技公司「合作」是該計劃的重要手段，通過「積極與國內和國外 IT 企業合作，暗中影響和/或公開利用其商業產品的設計」「將漏洞插入商業加密系統」。參與此類合作的公司均未具名，這些細節具有更高級別密級。

2013 年 12 月，路透社刊文《連接 NSA 與安全產業先鋒的秘密合同》稱，美國國家標準與技術研究院（NIST）2006 年正式發布的 SP 800-90 標準中推薦的確定性隨機位發生器（Dual_EC_DRBG），確實存在 NSA 的後門。在 NIST 將 Dual_EC_DRBG 加密演算法納入標準之前的 2004 年，NSA 支付 1000 萬美元與加密技術公司 RSA 達成秘密協議，使具有 NSA 漏洞的 Dual_EC_DRBG 作為 BSafe 加密庫中首選的默認隨機數據生成演算法，助其開展大規模監控。美國研究人員證實，因為該演算法漏洞的存在，「利用單個 CPU 或計算集群只需花費數秒或數十秒，就可以獲得通信密鑰」。英國《衛報》2013年評論稱，「NSA 的做法已經動搖了整個互聯網的信任基礎」。

（二）「風擋」計劃：入侵雅虎和谷歌數據中心

2013 年 10 月 31 日，美國《華盛頓郵報》和《紐約時報》同步曝光英國政府通信總部（GCHQ）和 NSA 聯合實施的監控項目「強健」計劃（MUSCULAR）。通過斯諾登披露的文件和知情人士提供的信息，媒體揭露了 GCHQ 和 NSA 通過美國電信運營商 Level 3，秘密侵入連接雅虎和谷歌數據中心處於英國的主要通信鏈路 DS-200B。在 2012 年 12 月至 2013 年 1 月的 30 天內，「強健」計劃收集了 1.81 億份記錄，遠遠超過「稜鏡」計劃每天收集的上百萬數據。但是，這一數據較之「香爐」計劃（INCENSER）還是相形見絀，該計劃同期 30 天內收集了超過 140 億份記錄。

「強健」與「香爐」均為「風擋」計劃（WINDSTOP）的子項目，是 NSA 與所謂「可信第二方」（Trusted Second Party）「五眼聯盟」（FVEY）情報機構合作的監控項目，旨在監控歐洲和中東地區的通信。

「香爐」計劃的監控目標為連接北美東海岸至英國、法國以及連接亞歐的兩條海底光纜，在英國大東電報局（Cable & Wireless）的支持下，在英國康沃爾監控接入點進行數據攔截。海底光纜數據流通過海量壓縮（MVR）進行過濾后提取，除通話外，所有類型的 IP 流量，如 VoIP、電子郵件、web 郵件和即時消息等都被重構，存儲在 NSA 的伺服器上供情報人員進行搜索、分析。據《衛報》報道，2011 年，GCHQ 處理了 4 萬個目標，NSA 處理了 3.1 萬個目標。另據被泄露的 GCHQ 文件，由於涉及的光纜運營商印度信實通信公司並非「五眼聯盟」合作夥伴，無法直接暗箱操作，所以為獲取情報，從 2009 年開始，進行代號為 PFENNING ALPHA 的網路黑客攻擊以便獲取情報。

（三）「怒角」計劃：劫持谷歌和三星應用商店感染智能手機

2015 年 5 月 21 日，加拿大廣播公司與英國《衛報》同時刊文，揭露 NSA 與「五眼聯盟」實施的「怒角」計劃（IRRITANTHORN）。此前，斯諾登披露的文件已顯示，「五眼聯盟」成員國有關機構為蘋果和安卓智能手機設計了間諜軟體。這些間諜軟體在感染目標手機后可獲取電子郵件、文本、網路歷史記錄、通話記錄、視頻、照片以及所存儲的其他文件。「怒角」計劃則揭示了這些機構如何「利用」應用程序商店伺服器發起「中間人攻擊」。

2011 年 11 月 至 2012 年 2 月，「五眼聯盟」情報機構多次開會研討、確立行動方案，通過使用 NSA 的 XKEYSCORE 分析識別流經互聯網光纜的智能手機流量，破解和劫持手機用戶與谷歌和三星應用程序商店的連接，向目標手機發送間諜軟體，收集數據。

XKEYSCORE 是斯諾登曝光的一項 NSA 絕密項目。2013 年 7 月，《衛報》曾對其進行了較為詳細的報道。該計劃最初是採集和分析郵件和瀏覽器活動，並建立龐大的「指紋」系統，後來發展為幾乎覆蓋 VoIP、社交聊天等所有網上活動的監視和分析系統。XKEYSCORE 被稱為 NSA 的「谷歌系統」。NSA 在全球 150 個地點設置超過 700 個伺服器支持該項目運作。大數據公司 Palantir 的海量數據分析和可視化分類服務，對該系統給予了有力支持。

（四）「拱形」計劃：監控網路安全廠商

2015 年 6 月 22 日，美國多家媒體網站「攔截者」「連線」「福布斯」等同步報道「自由斯諾登」網站當天曝光的 NSA 絕密文檔《輕鬆獲勝：利用信號情報了解新病毒》，披露美國情報機構對全球網路安全廠商實施的「拱形」（CAMBERDADA）計劃。

通過對俄羅斯卡巴斯基等反病毒廠商和用戶間通信的監控，美國情報機構獲取新病毒樣本及其他相關信息，並據此開發網路攻擊武器。該計劃可能始於 2007 年，由 NSA 下設機構信息保障局（IAD）和威脅行動中心（NTOC）執行。除卡巴斯基外，該計劃後續目標涉及歐洲和亞洲 16 個國家的 23 家全球重點網路安全廠商。美國邁克菲（McAfee）、賽門鐵克（Symantec）和英國守護士（Sophos）均不在目標名單之上。分析認為，該計劃服務於美國主導的「五眼聯盟」國家情報機構，所列目標為其他國家有能力發現和遏制美國情報活動的安全廠商「黑名單」。

「連線」刊發的文章稱，「拱形」計劃是一個系統性的惡意軟體檢測「逆向工程」。NSA 每天從發送至卡巴斯基的數十萬個惡意樣本中篩選出 10 個進行分析，檢查卡巴斯基殺毒軟體對這些惡意樣本的響應，在確認尚未被納入檢測的樣本后，NSA黑客會「改造惡意軟體」供自己使用，並定期檢查卡巴斯基是否將其納入病毒庫。

（五）「寶庫」/「界限」計劃：操控瑞士加密機公司 Crypto AG

2020 年 2 月 11 日，美國《華盛頓郵報》、瑞士德語廣播電視（SRF）和德國電視二台（ZDF）聯合發布調查報告，曝光 CIA 與德國聯邦情報局（BND）在二戰以來數十年間，通過控制全球最大加密設備製造商瑞士 Crypto AG 公司，竊取全球多達 120 個國家的最高機密。

媒體通過採訪多名匿名情報部門官員及 Crypto AG 公司員工，揭露了這一長達數十年竊密行動的真相。1951 年，Crypto AG 公司與美情報部門達成秘密協議，即最先進型號加密設備只對美國批准的國家出售，以此得到高達 70 萬美元的損失補償；1967 年，Crypto AG 公司推出取代機械加密的新一代電子加密機，但其內部工作原理完全由 NSA 密碼學家設計；1970 年，美德情報機構聯手收購了Crypto AG 的股份，完全控制了該公司的業務運營、員工雇傭、技術設計及銷售對象。該行動最初代號為「寶庫」（THESAURUS），直到 20 世紀 80 年代被改為「界限」（RUBICON）。

各國本欲使用密碼機保護的通信情報在美德面前成了高價定製的「皇帝新衣」。《華盛頓郵報》報道稱，20 世紀 80 年代，NSA 破解的外交通信情報中，大約 40% 來自 Crypto AG 加密設備。可以說，Crypto AG 加密機決定了二戰後許多重大歷史事件走向。CIA 文件顯示，在伊朗與伊拉克長達十年的戰爭期間，美國情報機構截獲了伊朗發送的超過 1.9 萬份加密通信，這些情報對美國而言「可讀性為 80％到 90％」。

（六）「鄧哈默行動」：接入丹麥海底光纜監聽歐洲國家

2021 年 5 月 31 日，丹麥廣播公司（DR）率先報道，德國《明鏡周刊》、英國路透社、阿拉伯半島電視台、今日俄羅斯等媒體轉載，披露 NSA 在 2012 年至 2014 年間與丹麥國防情報局（FE）合作的情況，他們通過接入海底互聯網光纜，對法國、德國、挪威和瑞典的高級官員的行動電話、電子郵件、聊天信息等進行監聽、監視，目標包括德國時任總理默克爾以及外長、財政部長等。此項行動代號為「鄧哈默行動」（Operation DUNHAMMER）。

丹麥因其地理位置而擁有數座連接德國、瑞典、荷蘭、挪威和英國的海底光纜關鍵著陸站點。NSA正是利用其優勢資源，通過監聽海底光纜針對性檢索，使用 XKEYSCORE 分析系統，截獲了歐洲多國官員的通話、簡訊和網路信息。

除丹麥外，2020 年 11 月 和 2021 年 5 月，歐洲媒體也連續披露 NSA 通過網路監控海底光纜對法、德等歐洲盟友進行竊密的醜聞，包括監控義大利的三條海底光纜、日均監控 200 萬個法國通信活動和 1 億多個德國通信活動等。

（七）社交媒體監控軟體 Babel X 採購事件

2022 年 4 月 5 日，美國《華盛頓郵報》報道，FBI 與 Babel Street 公司簽訂了高達 2700 萬美元的創紀錄軟體服務合同，購買 5000 份 Babel X 軟體的使用許可，強化 FBI 對社交媒體內容的搜索與追蹤能力，擴大開源情報來源。該合同於 2022 年 3月 1 日生效，持續 5 年。

FBI 表示，此份採購為了能夠從「推特、臉書、Instagram、YouTube、LinkedIn、Deep/Dark Web、VK 及 Telegram」等社交媒體軟體或網站獲取信息。事實上，FBI 監控清單上還包括 8Kun、Discord、Gab、Parler、Reddit、抖音及微博等。5000 份許可證可以使 FBI 每月搜索大約 2 萬個關鍵詞。

雖然合同具體細節不為外界所知，但是根據 FBI 招標要求，Babel X 軟體應該具備對「至少七種外語」的搜索及翻譯能力，同時，還應具備對某一設定地理區域的搜索，對發帖人的關聯分析、情緒分析、表情分析、預測分析、機器探測等備選功能。

（八）以色列 NSO 公司間諜軟體採購事件

2022 年 5 月 12 日，美國《紐約時報》報道稱，2018 年，FBI 購買以色列網路安全企業 NSO 間諜軟體「飛馬」。據報道，當時代表美方簽約的是一家名為「埃及艷后控股」的美國公司，其背後的實際所有者是政府承包商「黎瓦網路」。