國際特赦組織揭發大量間諜軟體出口至印尼 供應網絡複雜難追蹤

國際特赦組織發表調查報告指出,印尼政府透過隱蔽的供應鏈進口並部署大量間諜軟體及監視技術。 (圖:pixabay)

國際特赦組織安全實驗室(Security Lab)與《印尼時代報週刊》(Tempo)、以色列《國土報》(Haaretz)等多國媒體機構合作,於本(5)月初提出調查報告

調查報告指出,在 2017 年至 2023 年間,印尼的公司和國家機關進口並部署了大量高侵入性間諜軟體及監控技術,包括印尼國家警察(Kepala Kepolisian Negara Republik)、國家網路和加密機構(Badan Siber dan Sandi Negara),至少有四家以色列科技公司為供應商,並透過新加坡公司作為中介。

國際特赦組織安全實驗室(Security Lab)與多國媒體機構合作,發表調查報告指出,印尼政府透過隱蔽的供應鏈進口並部署大量間諜軟體及監視技術。/圖:國際特赦組織

▌以色列科技公司多次捲入監控醜聞 再次被爆售印尼政府監控技術

國際特赦組織安全實驗室根據貿易記錄、運輸數據、網路掃描等開源數據,發現這些高侵入性間諜軟體和監控技術透過複雜且隱蔽的系統進行銷售及轉移,該系統由多個供應商、中間人與經銷商組成。

目前已識別出的供應商包含總部位於盧森堡的 Q Cyber Technologies SARL(與以色列駭客公司 NSO 集團相關)、Intellexa 聯盟、以色列公司 Wintego Systems Ltd 和 Saito Tech(又稱 Candiru)、馬來西亞公司 Raedarius M8 Sdn Bhd,以及位於新加坡和印尼的中間人和經銷商。

其中,以色列「NSO 集團」過去曾遭跨國媒體合作之「飛馬計畫」(Pegasus Project)踢爆,將可駭入手機擷取資料、啟動相機及麥克風的間諜軟體「飛馬」(Pegasus)販售給多國政府,用以對付異議人士、政治人物和記者等。

延伸閱讀:監控馬克宏等十多國政要 「飛馬」間諜軟體引爆國際資安危機

由以色列退伍軍官創立的「Intellexa 聯盟」則在許多國家都設有公司實體,其產品遍佈全球各地,歐洲調查連線(EIC)與國際特赦組織合作推出之「掠奪者檔案」(Predator Files)在去(2023)年揭露,越南政府曾利用該聯盟旗下最著名的間諜軟體「掠奪者」(Predator)對全球政要進行網路攻擊,總統蔡英文也是攻擊目標之一。

美國政府因此在去(2023)年 7 月將 Intellexa 聯盟列入禁止商業往來的實體名單(Entity List)中,今年 3 月更對該聯盟的創始人及商業夥伴實施制裁。

國際特赦組織安全實驗室指出,提供印尼政府間諜軟體及監控技術的包含 NSO 集團、 Intellexa 聯盟等過去曾捲入「監控醜聞」的以色列科技公司。/圖:Unsplash

▌監視技術供應鏈隱蔽難以監督 以反對派「個人」為攻擊目標

調查發現,部分監控產品是透過位於新加坡的中介公司進口至印尼的,這些中介公司名義上是由「公司秘書」成立的,他們被登記為公司註冊文件或股票的所有者,因此很難識別公司的實質受益人。由於供應商網絡不透明,且對於「軍民兩用」的監控產品缺乏系統性資訊(包含產品的供應商、最終用戶及出口許可等相關文件),現有的監督機制難以有效執行。

調查報告指出,不確定印尼採購這些間諜軟體工具的目標對象是誰,但發現有些惡意網域和許多與網路基礎設施相關的高級間諜軟體平台似乎是以印尼的「個人」作為目標。

這些間諜軟體會將惡意網域偽裝成印尼新聞網頁、反對黨網站,誘使目標點擊,使其設備暴露在危險中。例如與 Intellexa 聯盟的間諜軟體「掠奪者」(Predator)網域連結的「Suara Oposisi」(反對派聲音)網站,便是試圖吸引對反對黨感興趣的用戶點擊,其他網域則模仿巴布亞省(Papua)與西巴布省(West Papua)的地方媒體「Suara Papua」,這兩省長期以來都有「分離運動」,似乎因此成為攻擊目標。

針對指控,Candiru 公司(Saito Tech)回應,該公司是根據以色列國防出口控制局(DECA)的《出口控制法,5766-2007》營運,NSO 集團也稱其嚴格受到產品出口國家出口控制機構的監管。至於印尼警方則拒絕做出回應,印尼國家網路和加密機構在報告發表時還未回應其提出的問題。

國際特赦組織安全實驗室指出,印尼政府部署的間諜軟體及監控技術以「個人」為攻擊目標,會將惡意網域偽裝成媒體網頁、反對黨網站,吸引攻擊目標點擊。/圖:Pixabay

▌缺乏相關監督規範 引入監視技術恐限縮印尼公民空間

由於間諜軟體會在不提醒使用者的情況下,從設備收集資訊,並將其發送給另一個未經授權的實體,尤其高侵入性的間諜軟體更會對設備進行無限制的訪問,留下最少的痕跡,使用戶幾乎不可能知道哪些數據被竊取。

印尼沒有專門管轄間諜軟體和監視技術合法使用的法律,最相關規範構僅涉及出於執法目的進行「竊聽」。根據印尼《電子資訊和交易法》(Electronic Information and Transactions Law,簡稱 EIT Law),「竊聽」包含透過有線通訊網路或無線網路監聽、錄音、轉移、竄改、阻礙、記錄不公開性質的電子資訊或電子檔案的傳輸行為,只有在警察、檢察等機關的要求下,才能在執法過程中實施竊聽行為。

而 2011 年 10 月通過的《國家情報法》 (State Intelligence Law),則廣泛授權印尼國家情報局(Indonesian State Intelligence Agency,又稱 BIN)從事「防止或打擊任何可能損害國家利益和國家安全的活動、工作、情報活動及反對者」,其中可能包括「通訊監視」。

然而,上述法規皆未寫明執法單位是以何種方式進行「竊聽」,也沒有具體機制讓民眾針對濫用行為進行抗議或要求賠償,對印尼公民社會構成重大風險。

尤其印尼公民空間在過去幾年不斷萎縮,在 2019 年 1 月至 2022 年 5 月期間,國際特赦組織就記錄了至少 90 起針對記者、人權捍衛者、異議人士的數位騷擾,這類攻擊由不明團體發起,以盜取社群媒體帳號密碼、不明國際電話騷擾等形式進行恐嚇,目的是散播恐懼以壓制民間社會的聲音

有鑑於數位攻擊的前例,國際特赦組織指出,向印尼出售或轉讓高度侵入性間諜軟體及監控技術,有侵犯人權的疑慮,並強調,濫用監控技術及使用與人權相違背的高侵入性間諜軟體,將限縮人民的公民空間,打壓言論自由、集會結社自由等權利。

對此,國際特赦組織呼籲,在國際社會及各國建立起適當的規範,以保護人們免受間諜軟體和監控技術侵犯人權之前,應禁止使用高侵入性的間諜軟體,並暫停所有間諜軟體的銷售、轉讓和使用。

印尼近幾年發生多起針對民間社會的數位攻擊,國際特赦組織因此指出,向印尼出售或轉讓高度侵入性間諜軟體及監控技術,有侵犯人權的疑慮。/圖:Christoph Scholz Flickr (CC BY-SA 2.0)

新聞回顧:
2024/04/26 報呱 遭北韓三大駭客組織聯合發動網攻 韓國10家國防公司受害
2024/03/28 報呱 中國國安部駭客組織「APT31」遭英美點名並加以制裁
2024/03/01 報呱 安洵洩漏文件 掀出中國招攬駭客內幕

參考資料:
2024/05/01 國際特赦組織 Global: A Web of Surveillance – Unravelling a murky network of spyware exports to Indonesia

Tagged: