關注 | 黑客服務清單外泄

引子

2014年的夏天，印度新德里一個不知名的承包商Aglaya公司正在默默努力著，試圖在年收益高達50億美元的外包政府監控市場和黑客服務市場中分一杯羹。

為了吸引潛在客戶，Aglaya公司製作了一份長達20頁的產品宣傳冊。

Motherboard網站獲取到了這份宣傳冊，並讓大眾詳細了解了那些在全球政府會議上宣傳監控工具和黑客工具的供貨商們。

詳細介紹

這份被泄露的宣傳冊不僅曝光了Aglaya公司所提供的一些不可告人的服務，而且還揭露了黑產承包商、信息安全中間商、以及全世界政府之間不可告人的幕後交易。

由此看來，這些國家和政府的確都急於提高他們的監控能力和黑客技術。

這份銷售文檔還指出了目前商業間諜工具的普及程度。

只需花費3,000歐元，該公司就能提供一份針對Android或iOS系統的間諜軟體。

這種惡意軟體與Hacking Team、FinFisher、以及NSO Group所開發的間諜工具類似。

不僅如此，Aglaya公司還聲稱，只需25萬歐元，他們就可以幫助你追蹤全球任何一部手機。

這些服務都是眾多間諜工具開發公司所提供的基本服務，這些公司每年都會在「情報支持系統世界貿易展」（ISSWorld）上展示並出售他們的產品。

各種黑客服務被曝光

但是，從泄露的宣傳冊中可以看出，Aglaya公司能夠提供更加豐富的服務。

例如，時長為8至12周的黑客服務，每日收費為2,500歐元。

值得一提的是，該公司還提供了一項服務被稱作「WeaponizedInformation」的服務。

公司承諾，這項服務不僅能篡改用戶的網際網路搜索結果，甚至還可以偽造Facebook和Twitter這類社交網絡上的時事熱點。

與此同時，該公司還聲稱，無論你是個人還是公司，他們都能用各種各樣的攻擊手段中傷「目標」。

該公司還揚言：「我們會源源不斷地推送各種信息，將『目標』推送至所有搜尋引擎的熱搜榜單中。

」

除了上述服務之外，Aglaya公司還可以為用戶提供安全檢測服務或分布式拒絕服務（DDoS）攻擊。

根據宣傳冊的介紹，這兩項服務每天的價格為600歐元。

該服務的操作方式是利用殭屍網絡向被攻擊目標發送惡意流量，並迫使目標下線。

除此之外，客戶還可以購買額外的附加服務，附加服務可以讓被攻擊的目標陷入偽造的刑事起訴案件中，但是這項附加服務需要額外支付100萬歐元。

用戶還可以購買「網絡戰爭服務」，用戶不僅可以利用該服務來攻擊工廠、電力公司、以及關鍵網絡基礎設施，該服務甚至還可以攻擊人造衛星和飛機。

根據宣傳手冊的描述，這項服務的起售價為100萬歐元。

Aglaya公司還聲稱，他們可以出售西門子工業控制系統中的未知漏洞或0day漏洞，價格為200萬歐元。

安全專家卻對此表示懷疑

但是，很多查閱過該宣傳冊的安全專家卻表示對Aglaya公司出售的部分產品持懷疑態度。

很多專家認為這些產品名不副實，甚至懷疑這些產品根本就不存在。

不過泄漏的宣傳冊顯示，還是有很多政府對這些服務非常感興趣，這也就意味著一定需要有相關公司和服務來填補這一份市場空缺。

Christopher Soghoian是美國公民自由聯盟的首席技術專家，他已經跟蹤並研究監控技術廠商很多年了，他在接受Motherboard的採訪時說到：

「這份宣傳冊上所提到的一些產品和服務真的很不現實。

另外，提供攻擊衛星或飛機的服務顯然是違法的。

但這些供應商都是唯利是圖的人，他們的原則就是盡力滿足客戶的一切要求，至於能不能兌現諾言就另當別論了。

就此看來，這些網絡外包公司並不會僅僅將他們的注意力放在那些所謂「合法」的監控產品市場。

」

在證據面前，任何解釋都顯得很蒼白

但是，Aglaya公司的CEO兼創始人Ankur Srivastava並沒有公開承認這份宣傳冊的真實性。

Srivastava在電子郵件中說到：「我們並不會向所有的客戶都提供這些產品，這些產品是給特殊客戶量身定製的。

」

Srivastava還表示，他很後悔參加了ISS World展會，因為Aglaya公司從來沒有出售過宣傳冊上的產品和服務，他還宣布不會再提供這類產品和服務了。

（在被問及到ISSWorld是否會縱容那些提供這類黑客服務的公司時，主辦方對此沒有做出任何回應。

）

Srivastava還補充說到：「我會向大家證明我們不是提供這類服務的公司，我們參加這次展會純屬意外。

」

然而，在被問及到更多的細節信息時，Srivastava並沒有直接回答，反而一直在重申他們公司從來沒有與任何政府有過任何交易，他還表示參加ISS World展會簡直是一件浪費時間和金錢的事情。

Aglaya公司目前之所以會遇到困境，他認為主要是因為公司沒有設在西方國家，在他看來，有這些需求的客戶們更願意找西方國家的供應商。

在被問到對這類服務感興趣的潛在客戶身份時，Srivastava卻表示他對此一無所知，他說他只跟一個來自南美洲的中間商有過交易。

該宣傳冊並沒有說明有哪些國家對這類服務感興趣。

不過，拉丁美洲的政府，比如墨西哥和厄瓜多，會使用Twitterbots或其它方式在網上發布虛假信息。

此外，墨西哥的客戶在購買Hacking Team和FinFisher開發的間諜產品上可是出了名的大方。

Srivastava一直在逃避關於他的公司製造間諜產品的問題。

但是，一位曾經在監控行業工作過的匿名人士表示，他曾經見到過Aglaya公司製造的惡意軟體樣本，其中的軟體代碼內全是Aglaya公司的信息。

這位匿名人士還表示，他的一位客戶去年就被Aglaya公司盯上了。

該客戶收到一部安裝了惡意軟體的手機，並被告知他之所以可以獲得這部手機，是因為他贏得了某場比賽。

這聽起來也許很可笑，但Aglaya公司就是用這種方式來攻擊受害者的，實際上他們無法規避蘋果的安全措施，也無法在沒有越獄的情況下給手機安裝惡意軟體。

Aglaya公司肯定向某些特殊用戶提供過監控服務，而且某些中東國家對這類服務非常感興趣。

另一位匿名知情者表示，Aglaya公司的一位代表曾宣稱他們公司確實有中東國家的客戶。

該知情者還說，Aglaya公司聲稱放棄監控技術業務根本就是謊言，他去年還看見過這本產品宣傳冊的升級版。

總結

Aglaya公司的手中可能的確擁有一些客戶資源，但目前還有很多涉足這個行業的公司，也許他們有更多的客戶，能提供更好的服務，但我們卻無從得知。

除非他們被逮捕，或是他們的宣傳資料也被泄露出來。

通常來說，這些公司都會出售安全防禦服務和攻擊服務。

Srivastava在迴避了大量提問後，主動向Motherboard網站展示了他們公司的最新產品–「SpiderMonkey」。

該設備的功能與「Stingrays」或IMSI捕捉器這類監控裝置的功能類似，可以用來追蹤和監控手機設備，也能盜取手機設備中的資料。