在網絡技術還未普及的時代，提供監視服務的相關行業就已經存在，多年來一直持續演變中。從最初利用人工安裝物理硬件竊聽，到如今利用間諜軟件收集數據，其間的技術手段發生了驚人的巨變。商業間諜軟件逐漸演變成為了一個復雜、低調、國際化、利潤回報豐厚的產業。

在如今這個信息爆炸的時代，商業間諜軟件的存在與活躍程度愈發引人關注。這些隱匿于數字暗流中的惡意工具，像無聲無息的“幽靈”一般，悄然滲透到企業的核心數據中，窺探著商業機密，對商業生態構成了嚴重威脅。

商業間諜軟件日益猖獗不僅體現在其技術手段的不斷升級，更在于其背后的利益驅動和市場需求。

根據谷歌今年上半年發布的"購買間諜軟件"報告，商業間諜軟件市場正在迅速增長，數十家企業和大量資本涌入，對全球互聯網安全和公民自由構成重大威脅。

據報告顯示，近年來為監控部分個人群體，全球各國政府推動了商業間諜軟件供應商(CSV)市場的高速增長，越來越多的網絡武器經紀人涌入這一市場。

在2014年年中至2023年年底近十年期間，谷歌產品中72個已知零日漏洞中有35個都是商業間諜軟件供應商挖掘的。去年，谷歌TAG研究人員觀察到攻擊者在野外利用的25個零日漏洞中，商業間諜軟件供應商就占了20個。

此前也有不少軟件供應商曾公開斥巨資購買零日漏洞，比如2023年9月底，俄羅斯Operation Zero就曾宣布將發現主流移動平臺零日漏洞的報酬從20萬美元提高到2000萬美元（約合人民幣1.46億元），用于購買黑客工具，幫助該公司的客戶入侵iPhone和安卓設備。

今年4月，Crowdfense公司宣布啟動Exploit Acquisition Program，斥資3000萬美元（當前約2.17億元人民幣）購買各種手機、軟件等主流產品的零日漏洞。其中：

• 針對iOS的零點擊攻擊鏈漏洞采購價格為500-700萬美元
• 針對安卓的零點擊攻擊鏈漏洞采購價格為500萬美元
• 針對iOS的RCE + SBX漏洞為350萬美元
• 針對Chrome瀏覽器的RCE + SBX漏洞為200-300萬美元
• 針對SMS/MMS全鏈零點擊的零日漏洞支付價格高至900萬美元

零日漏洞因具有突發性、破壞力強、防范難度大，攻擊效果高等多重因素而導致價格十分高昂。市面上被軟件商高價采購的零日漏洞，除了有部分是用于提早防范的作用外，其余不少都被間諜軟件用于發動攻擊等惡意行為。正是因為這類市場能夠創造巨大的經濟利益，才使得這類灰產至今無法根除。

這些年，除了供應商數量在激增之外，間諜軟件的供應鏈也在迅速發展，例如專門開發零日漏洞的專業團隊，以及幫助政府和執法部門選擇和部署間諜軟件的咨詢公司也在近年來如“雨后春筍般”涌現。

間諜軟件正在泛濫，花樣繁多且防不勝防

商業間諜軟件的竊取方式多種多樣，且往往隱蔽而難以察覺。

想象一下，當你在電腦前忙碌地工作時，一雙無形的眼睛可能正在窺視著你的屏幕，記錄你的每一個鍵盤敲擊，竊取你的商業計劃、客戶信息和財務數據。又或者，當你沉浸在手機的社交媒體世界中時，一個看似無害的應用程序可能正在悄悄收集你的位置信息、聯系人列表和瀏覽習慣......這些商業間諜軟件精通偽裝和隱藏技巧。它們的竊取方式多種多樣，令人防不勝防。

飛馬：曾被曝監聽5萬人，涉及多國政要

“飛馬”間諜軟件是由以色列科技公司NSO集團開發的手機監控軟件，可以通過遠程控制，隱蔽地安裝在蘋果和安卓手機等設備上，并輕松截取手機里的各類訊息，包括讀取用戶短信、跟蹤通話、收集密碼、追蹤位置，圖片、視頻、電郵內容，訪問目標設備的攝像頭甚至可以秘密開啟麥克風進行實時錄音。該軟件功能十分強大，被稱為有史以來最先進的“軍事級間諜程序”。

2011年，NSO推出了“飛馬”第一版，希望借助這個強大的新工具，迅速在西方國家建立起穩定的客戶群，一經推出就受到了廣泛關注。

起初，“飛馬”軟件會向用戶發送一條惡意的鏈接，用戶只要一點擊就會“中招”。但據調查部門專家介紹，這款“飛馬”軟件現在已經升級——不用釣魚網址，照樣能對目標對象實施各項有針對性的間諜活動，其跟蹤、監聽和間諜滲透的“全面能力”。

圖源：央視新聞

據悉，這款軟件曾被用來秘密監控國家元首、皇室成員、政商要人和部分記者的手機，受到監控的電話號碼或多達5萬個。

NSO美國子公司制作的“飛馬”宣傳彩頁，圖源網絡

這些號碼涉及一些國家的政要、媒體人士、社會活動家，其中約1.5萬個號碼來自墨西哥，其他號碼的客戶還包括阿塞拜疆、巴林、匈牙利、印度、哈薩克斯坦、墨西哥、摩洛哥、盧旺達、多哥、沙特和阿聯酋等。名單上的一些電話號碼沒有標出姓名，但英國廣播公司的記者能夠識別名單上50個國家的1000多人，其中包括數名阿拉伯王室成員、至少65名企業高管、85名著名人權活動人士，還有《金融時報》等189名媒體記者，600多名政治家和政府官員，甚至幾名國家元首和總理 。

FinSpy：曾涉及20個國家的i0S和Android用戶

FinSpy是由德國Gamma Group公司制造的間諜軟件，通過其在英國的子公司Gamma Group Internatonal向全球的政府和執法機構出售被用于在各類平臺上收集用戶的私人信息。

據遙測數據顯示，有幾十種類型的移動設備都遭到過FinSpy的感染，而最近一次活動記錄是在緬甸。

此前，卡巴斯基研究了最新版本的FinSpy植入程序，主要是i0S和Android版本，兩者在功能上幾乎是相同的，都能夠收集個人詳細教據，如聯系人、短信彩信、電子郵件、日歷、GPS定位、照片、內存中的文件、電話錄音和當前一些流行的通訊軟件的數據。

據悉，FinSpy應用程序由FinSpy代理控制，默認情況下，所有植入程序都連接到Gamma Group提供的FinSpy匿名代理，也稱為FinSpy Relays，這樣做是為了隱藏FinSpy Master的真實位置。

一旦受感染的目標系統在線顯示，它就會向FinSpy代理發送提示，FinSpy代理轉發目標與主服務器之間的連接。FinSpy主服務器則管理所有目標和代理并存儲數據。

Gamma Group在FinSpy產品中還提供了各種配置功能，這也使得FinSpy終端的操作人員能夠針對特定受害者定制惡意行為并進行監視，還能清除自身的敏感數據，例如GPS位置、聯系人、呼叫信息、通訊軟件和設備間的數據等。

自2014年FinSpy曝光以來，Gamma Group已經多次重建其核心部分，同時還擴展了更多支持功能。例如，支持的即時誦訊軟件列表已經大大擴展，并改進了加密和混淆功能，使之更難以分析檢測。多年來的不斷更新，更加穩固了FinSpy在間諜軟件市場中的地位。

據統計，這些年來已有近20個國家曾檢測到FinSpy的在野最新版本。且由于其隸屬的Gamma Group公司客戶群體規模極為龐大，因此預估全球遭遇過起間諜軟件攻擊的受害者實際數量可能遠高于目前公開披露的數字。

DevilsTongu：一旦部署成功可完全訪問受感染設備

2021年7月15日，微軟發布了對Candiru公司Windows平臺間諜軟件的相關分析報告，并將其稱為DevilsTongue。

DevilsTongue是Windows 平臺的間諜軟件，其一旦部署到目標的 Windows 系統中，即可完全訪問受感染設備，DevilsTongue還具備多種功能，包括收集和竊取受害者的文件，解密和竊取Windows設備上的Signal信息，并從LSASS和Chrome、Internet Explorer、Firefox、Safari和Opera網絡瀏覽器中竊取cookies和保存的密碼。

此外，它還可以利用存儲在受害者電腦上的Facebook、Twitter、Gmail、Yahoo、http://Mail.ru、Odnoklassniki和Vkontakte等網站的cookie來獲取敏感信息，比如讀取受害者的消息，竊取照片等。

據悉，DevilsTongue一般是通過誘騙受害者訪問托管著exploit的網站進行部署，該exploit濫用瀏覽器漏洞將DevilsTongue植入到受害者設備上，隨后濫用第二階段的 Windows exploit 為運營人員獲得管理員級別的訪問權限。DevilsTongue感染了100名來自世界各地的政客, 人權捍衛者, 積極分子, 記者, 學者, 大使館和持不同政見者，這些受害者位于巴勒斯坦、以色列、伊朗、黎巴嫩、也門、西班牙、英國、土耳其、亞美尼亞和新加坡等多個國家。

另外，DevilsTongue還可以在一些網站上以受害者的身份發送信息，并且發送信息的能力可以被武器化，以向更多的受害者發送惡意鏈接。

據統計，全球商業間諜軟件行業每年的利潤增長率約為20%，如此豐厚的利潤回報無疑是助長行業發展、促使更多的供應商誕生的“動機”所在。

目前市面上曝光的商業間諜軟件，不過只是冰山上微不足道的一角而已，藏匿在冰山下的部分還亟待全球研究人員的發掘。

商業間諜軟件驚人價格的“幕后推手”究竟是誰？

隨著時間的變遷，商業間諜軟件開始呈現出跨國界、跨行業的傳播趨勢。特別是在全球化的大背景下，企業間的競爭愈發激烈，因此商業間諜軟件就成為了一些不法分子和競爭對手獲取競爭優勢的“利器”。這些軟件不僅在國內市場泛濫，還通過國際互聯網傳播到全球各地，給跨國企業帶來了極大的安全隱患。

研究人員認為，目前商業間諜軟件市場快速增長的主要原因是全球各國政府外包間諜軟件工具開發的需求極為強烈，但都不愿在內部開發APT工具。

谷歌TAG的研究人員指出："政府不再需要依賴于建立自己的能力，轉而簽署有保證的漏洞利用合同，以及購買從交付、安裝到分析所收集數據的全套服務工具。但這些“端到端”的一攬子解決方案通常價格驚人。

以為政府客戶提供的端到端監控服務的希臘商業間諜軟件商Intellexa為例，客戶支付800萬歐元，就可以使用遠程一鍵漏洞利用鏈在Android和iOS設備上安裝間諜軟件植入物，一次最多可以運行10個并發間諜軟件植入物。

同時，購買Intellexa產品服務的政府/執法機構用戶能夠使用所在國的SIM卡并在設備上安裝和管理Intellexa的Nova系統，其中包括其Predator間諜軟件植入物和數據分析系統。

據悉，廠商還額外提供一年維護保證，如果工具使用的零日漏洞被修補，客戶將獲得新的漏洞利用。

當然，如果客戶愿意額外支付120萬歐元，還可在另外五個國家感染Android和iOS設備，再支付300萬歐元就可保證在目標設備的持久性。

事實上，政府機構采購商業間諜軟件已經不是什么新鮮事。近年來，已經有越來越多的國家開始意識到商業間諜軟件的重要性，紛紛加大投入，采購和部署這類軟件。

圖源：央視新聞

此前印度政府就曾斥巨資公開采購新型間諜軟件，旨在提升國防和情報部門的監控能力。幾年前，14個歐盟國家也曾因商業間諜軟件卷入了當時鬧得沸沸揚揚的“歐洲水門事件中”。

報道稱，以色列NSO公司開發的飛馬間諜軟件曾在歐盟多個國家被用來非法監視反對派成員、記者、民權活動家和政府官員。在波蘭，飛馬軟件被當局用來監視政治對手。西班牙的案例更令人震驚。自2017 年開始，西班牙情報機構一直在使用飛馬軟件監視多名加泰羅尼亞地區的政客和他們的家庭成員。飛馬軟件也被德國的相關機構使用，包括德國聯邦刑事警察局和聯邦情報局，他們聲稱監聽手機是為了追蹤可疑的恐怖分子和其他罪犯。

圖源：央視新聞

為此，歐洲議會成立了一個調查委員會，調查委員會在初步報告中將這一丑聞稱為“歐洲水門事件”。報告稱，間諜軟件丑聞不是孤立的案件而是一個系統的歐洲問題。

全球多國政府采購商業間諜軟件引發了一系列爭議和擔憂。一方面，這些軟件可能被用于侵犯個人隱私和泄露敏感信息，對公民權益構成威脅。另一方面，一些國家可能濫用這些軟件，進行非法監視和打壓異見人士，破壞民主和法治。

當然，商業間諜軟件發展越來越猖獗的背后原因不僅于此，以上這些只是其中一個方面。

商業間諜軟件行業本身也受到了商業利益的驅動。供應商通過出售高性能的間諜軟件，獲取了豐厚的利潤。同時，一些不法分子也利用商業間諜軟件進行網絡犯罪活動，如網絡釣魚、詐騙等，以獲取非法利益。

盡管商業間諜軟件的使用存在諸多爭議和擔憂，但相關法律法規的滯后也為其發展提供了空間。一些國家尚未建立完善的網絡安全法律法規體系，對商業間諜軟件的使用和監管缺乏明確的規范和指導。這使得商業間諜軟件在一定程度上得以自由發展。

因此，技術革新的推動、國際競爭的加劇、商業利益的驅動、法律法規的滯后、網絡安全防護的疏漏以及國際合作的不足等多個方面都是商業間諜軟件發展至今的“幕后推手”。

結語

全球間諜軟件市場的“野蠻生長”無疑已是當代信息安全領域的一大隱憂。但間諜軟件市場的繁榮并非偶然，它是商業利益與信息安全漏洞相互交織的產物。

這些軟件的存在，為不法分子提供了窺探他人隱私、竊取商業機密的工具，對全球商業、政治環境構成了嚴重威脅。

商業間諜軟件為其客戶提供了強大的廣泛的域外監視能力，且由于可更改攻擊目標和沒有地理位置限制，以及溯源難度大等特點，因此也被視為當今最危險的網絡威脅之一。