歐洲版NSO-可以在世界任何角落找到人的意大利Tykelab電話監控公司揭秘

   無論您身在何處，如果您隨身攜帶智能手機并連接到網絡，您的電話接線員總能知道您在哪里。為了讓您接收SMS或電話，接線員必須知道您在哪里，從而知道您連接到哪個電話網絡。如果您在國外漫游，該國家的電信公司會管理SMS的接收并與您的運營商交換信息。這個簡單的程序也是蜂窩網絡的基本結構，但是專業公司可以利用它來識別您的位置并將信息傳遞給第三方，主要是執法和情報機構。它可以通過利用使網絡正常工作的機制來實現——這通常讓人很難判斷這是正常活動還是監視嘗試。Lighthouse Reports (LHR)與Irpimedia、Domani、Der Spiegel、EUobserver和Mediapart進行的一項調查顯示，由最著名的監控公司RCS控制的意大利公司Tykelab 在向執法部門出售這種能力。自2021年以來，一波黑客竊聽丑聞席卷了歐盟國家，據稱用于最嚴重犯罪分子的工具被用來對付政客和記者。歐洲議會正在舉行聽證會，特別關注以色列的NSO集團及其旗艦Pegasus間諜軟件。但最近的調查將焦點放在了歐盟本身以及歐洲在商業監控技術的高風險擴散中所扮演的角色。

主要發現

• 一家意大利公司能夠在受害者不注意的情況下監控全球智能手機的位置，利用了一個似乎注定無法解決的十年之久的漏洞。
• 來自電信部門的機密數據顯示，Tykelab秘密發送數萬個請求，以跟蹤連接到利比亞、馬來西亞、巴基斯坦、尼加拉瓜、伊拉克、馬里、希臘、葡萄牙和意大利的電話網絡的手機的位置。
• Tykelab由意大利著名竊聽公司RCS所有，該公司以Ubiqo的名義將Tykelab 的技術轉售給執法和情報機構。
• RCS和Tykelab還開發了一款間諜軟件Hermit，它可以控制您的智能手機并聽到您所說的一切。網絡安全研究人員在哈薩克斯坦、意大利和羅馬尼亞發現了它的蹤跡。

   神秘的Tykelab 

    Tykelab現在已被Cy4gate連同控股公司 urora SpA收購，后者已經擁有RCS并在收購前正式正式控制Tykelab。Cy4gate，正如Irpimedia 前重建的，想直接挑戰 NSO。這家意大利監控公司集團現在的目標是在意大利和國外擴張。幾位電信安全專家向LHR和Irpimedia提供了顯示Tykelab在全球范圍內活動的機密數據。該公司自稱是一家無害的電話服務提供商，但從世界各地的合法電話運營商那里租用了數十個網絡接入點，就好像它也是一種運營商一樣。但是，它不是使用此登錄來發送SMS或直接電話，而是使用登錄來發送可以測試不同國家網絡中的漏洞并秘密收集個人數據的命令 - 特別是連接到電話網絡的人的位置。

    在羅馬的南部，離歐元區不遠，被住宅樓和銀行和金融協會的辦公室所隱藏，是一座匿名的灰色建筑。入口處只有其他公司的牌匾，沒有Tykelab的痕跡。然而，在二樓，在一扇被不透明帶子遮擋的玻璃門后面，可以清楚地看到一個標志，旁邊是一個口罩和洗手液分配器：Tykelab。 

    辦公室入口由解鎖碼和海康威視指紋讀取器保護。然而，按門鈴，無人接聽。

    里面至少有5扇門。其中一個打開，露出幾瓶水和一副耳機，這是員工唯一可見的標志。大樓入口處的搬運工解釋說，至少有兩個星期沒有人出現了。

    安全專家 - 由于主題而要求匿名 - 講述了Tykelab如何實施大規模監控。Tykelab 的活動蹤跡主要在利比亞、尼加拉瓜、馬來西亞和巴基斯坦，但也出現在意大利和歐盟國家。

    “他們變得越來越活躍，”一位專家說，他幾個月來一直在監測Tykelab在各種網絡上的活動。“自今年年初以來，他們增加了攻擊次數，現在它們一直保持不變。”

    在商業上，研究人員描述的Tykelab技術由RCS以 Ubiqo 名義出售。LHR獲得的一份RCS手冊描述了“跟蹤幾乎任何有電話的人的活動”和“通過分析活動模式、會面地點和持續時間來生成信息”的可能性。宣傳冊中寫道，Ubiqo“是一個開發用于在全球范圍內實時定位移動網絡上的目標的平臺，基于目標無法注意到的非侵入式方法”。

    RCS以提供傳統的“合法竊聽”系統而聞名，這要歸功于其監控系統，該系統允許意大利電話基礎設施連接到檢察官，從而可以激活電話竊聽。根據Cy4gate為收購Aurora 集團發布的文件，RCS于2000年開發了其監控系統，然后在2007年獲得了第一個國外訂單。2015 年，它通過包括用于Windows的間諜軟件來擴展所提供的產品，并從 2018 開始完成通過為iOS和Android開發版本的間諜軟件的范圍。這個間諜軟件并沒有被忽視。

    2022 年6月，RCS和Tykelab成為網絡安全公司Lookout和谷歌威脅分析小組報告的焦點。研究人員發現名為Hermit的間諜軟件活躍在意大利和哈薩克斯坦——一個有著悠久監視歷史的國家。開發者應該是RCS和Tykelab，正如間諜軟件和允許控制它的服務器中存在的各種數字證書所證明的那樣。Lookout還表示，它最近在羅馬尼亞發現了一起隱士襲擊事件。間諜軟件將與司法高級委員會前成員盧卡·帕拉馬拉 (Luca Palamara) 的竊聽案中使用的相同——這個故事使RCS受到調查，因為復制的數據不會得到正確處理。

    Tykelab掌握的漏洞如何工作

    Tykelab利用了名為Signaling System 7 (SS7) 的協議中的一個漏洞。來自兩個不同國家的電話運營商必須能夠相互通信，以防其中一個國家的多個客戶在另一個運營商的國家/地區出國旅行。無論是在意大利還是在德國漫游，呼叫都必須能夠到達意大利號碼。SS7 只允許這種類型的信息交換。

    然而，要做到這一點，世界電信系統依賴于一系列現在已經過時的協議，這些協議存在一些已知的漏洞，可以被網絡犯罪分子和情報機構利用。最初，幾個不同運營商之間的全球電話網絡連接是基于相互信任的。然而，市場的開放使得進入這個網絡變得更加容易，因此運營商的數量呈爆炸式增長。任何有權訪問這些網絡之一的人都可以向電話號碼發送命令并接收回信息。您可以找出手機的位置，獲取SIM卡上的身份信息，也可以進行更復雜的攻擊，例如攔截電話和短信（通常以進行經濟欺詐為目的），

    歐盟網絡安全局 (ENISA)在2018年發布的一份報告中寫道，其中提到的一些攻擊執行起來更加復雜，但允許您跟蹤設備位置的攻擊非常容易。它補充說盡管這些攻擊并不常見，但它們仍然會對人們產生重大影響，這是因為購買網絡訪問權限并開始發送命令很容易。

    事實上，已經出現了一組專業公司，它們提供了代表客戶利用這些漏洞的可能性，這些客戶通常是執法機構或情報機構。一些電話運營商試圖尋求掩護，但不幸的是，大部分電信部門似乎不想解決這個問題，這被認為是難以解決且成本高昂的問題。此外，這些漏洞似乎注定不會隨著更先進的通信技術（如5G網絡）的引入而消失。事實上，第一個漏洞已經被發現，一些研究人員已經找到了在5G網絡上進行類似于Tykelab攻擊的方法。

    安全專家Karsten Nohl強調，移動電話網絡功能方面的關鍵漏洞被披露已有八年——Tykelab 和其他公司已將這些漏洞用于監控目的。Nohl 說：“防火墻早已存在，以便電話運營商可以保護他們的客戶——但這項研究證明，并非所有全球電話供應商都設置了這些基本保護措施。非常不幸的是，這些漏洞仍然沒有被關閉。”

    對世界電話網絡的攻擊

    雖然Tykelab的羅馬辦公室是一個靠近EUR區的安靜住宅區，但其活動的回聲卻引起了安全專家的關注。去年，南太平洋距離羅馬15,000公里的一組電話網絡開始向世界各地的號碼發送奇怪的查詢。它們發送命令以跟蹤號碼的位置并收集與連接到網絡的 SIM 相關的信息。這些不僅僅是幾個請求，而是數千個。它并不止于此。 

    LHR查看的機密數據顯示，在2022年的一天內，Tykelab使用位于澳大利亞以東約 5,000公里的一個偏遠群島的電話接線員向馬來西亞的一個網絡發送了數千個可疑請求。這些影響不安全網絡的請求允許顯示連接到網絡的人員的位置。設備上沒有任何痕跡，用戶很無奈。 

    另一個數據集提供了去年6月大約10天時間的快照：該公司從太平洋地區的國家對網絡進行了11次不同的訪問，以實現位于哥斯達黎加、尼加拉瓜、利比亞、巴基斯坦、伊拉克、馬里、馬其頓、希臘和葡萄牙。 

    提供數據集的分析師告訴LHR ：“我們看到他們測試網絡，系統地、持續地尋找繞過保護的方法，我們還看到他們進行公然的有針對性的攻擊以定位特定的個人。”

    消息人士說：“盡管其中許多攻擊旨在強制發布位置信息，但在利比亞的案例下，有些活動與攔截電話或短信所需的活動一致。”

    據專家介紹，Tykelab不僅僅停留在監控上，該公司似乎也有興趣系統地探索全球電話網絡的漏洞。LHR看到的公司運營地圖顯示了Tykelab在今年6 月為期兩天的時間里在世界上幾乎每個國家的測試網絡。

    “有大規模掃描的所有特征，目的是確定哪些是受保護最少的網絡，”專家說。

    Tykelab也引起了其他學科的關注。LHR獲得的一封電子郵件顯示，加拿大政府的網絡安全中心（CCCS）已經將目光投向了Tykelab，將一些與Tykelab 關的網絡訪問列為惡意使用的“高風險”。根據LHR看到的一份為私營部門會議準備的機密報告，僅在 2022年上半年，Tykelab就在非洲大陸、東南亞和歐洲部分地區的電話網絡上發起了約 27,000次攻擊。 

    CCCS 信令將促使至少一個運營商評估阻止來自某些訪問Tykelab全球電話網絡的流量的可能性。但據GSMA手機行業協會隱私部門前主任帕特·沃爾什 (Pat Walshe) 所說，還有很多工作要做。 “這些揭露需要監管機構立即調查并立即采取行動，”他告訴 LHR。“我們已經越界了。手機行業需要明確澄清為什么它無法解決助長全球范圍內侵犯人權的嚴重缺陷”。     

    不斷擴張的監控業務

    新的攔截巨頭Cy4gate-RCS瞄準國外市場不斷擴張。根據Cy4gate的一份報告，這兩家公司已經“與海灣地區、中亞和拉丁美洲的政府建立了商業關系”，并計劃“通過擴大企業部門和鞏固我們的地位，使更多客戶多樣化國外 ”。據Cy4gate稱，事實上，收購 RCS可能有利于在北歐的擴張。

   然而，這種擴張的愿望也必須帶來更嚴格的審查。“監督出口的意大利當局必須確認他們是否在監督該公司，它被允許向哪些客戶銷售，以及他們認為這不會對世界各地人民的權利構成明顯和直接威脅的原因”，隱私國際的 Omanovic作如上表示。

    在文章發表時，外交部沒有提供有關授予Tykelab和RCS向本次調查中提到的其他國家的出口許可證的更多信息。

    “現在是讓歐洲這個黑暗世界[間諜軟件] 曝光的時候了，”MEP In 't Veld 告訴 LHR。“長期以來，它一直存在于這種合法性的表象背后，但卻違反了法律，并被輸出到有爭議的政權。”

    與RCS擴展相關的問題可能已經出現。根據希臘報紙Inside Story和News24 / 7的報道，希臘特勤局 (EYP) 在2020年至2021年期間向RCS授予竊聽系統合同。然而，希臘目前正處于新丑聞的中心：一種類似于Pegasus的間諜軟件，名為Predator，由 Cytrox公司生產，在2020年被用來對付一名調查記者，希臘總理證實他們是被實施的。從2021年9月開始，針對一名反對派政治家和歐洲議會成員為期三個月。目前尚不清楚這些攔截是否是使用RCS提供的系統進行的。目前，在EYP負責人辭職后，希臘政府已回應歐盟委員會發出的澄清請求，稱其從未購買過該間諜軟件，并且在發生此類事件時尊重其立法框架。竊聽政客，然后直接攻擊關注這個故事的記者。

    經Irpimedia聯系，RCS確認控制Tykelab，但拒絕提供有關其客戶的詳細信息。他重申，其產品供應給執法機構，以支持恐怖主義行為、販毒和有組織犯罪等嚴重犯罪案件的預防和調查活動。該公司已聲明其出口產品“符合國家和歐洲法律法規的規定。