Circles是一家监视公司,据报道,它利用全球移动电话系统中的弱点来监听电话,短信和电话在全球的位置。 Circles隶属于NSO Group,后者开发了经常滥用的Pegasus间谍软件。
Circles的产品可以在不入侵手机的情况下正常工作,他们表示只向民族国家销售产品。根据泄露的文件,Circles客户可以购买一个连接到本地电信公司基础设施的系统,也可以使用一个称为“ Circles Cloud”的单独系统,该系统与世界各地的电信公司互连。
根据美国国土安全部的说法,所有美国无线网络都容易受到Circles报道的弱点的影响。同样,全球大多数网络也很脆弱。
使用Internet扫描,我们发现了与Circles部署中使用的Check Point防火墙的主机名关联的唯一签名。这项扫描使我们能够识别出至少25个国家/地区的Circles部署。
我们确定以下国家/地区的政府可能是Circles的客户:澳大利亚,比利时,博茨瓦纳,智利,丹麦,厄瓜多尔,萨尔瓦多,爱沙尼亚,赤道几内亚,危地马拉,洪都拉斯,印度尼西亚,以色列,肯尼亚,马来西亚,墨西哥,摩洛哥,尼日利亚,秘鲁,塞尔维亚,泰国,阿拉伯联合酋长国(UAE),越南,赞比亚和津巴布韦。
我们确定的某些特定的政府部门充满信心,因为Circles客户有利用数字技术来侵犯人权的历史。在某些特定情况下,我们能够将部署归因于特定客户,例如泰国皇家陆军的安全行动司令部(ISOC),据称该组织曾酷刑被拘留者。
有关监视和跟踪的公开讨论主要集中在众所周知的技术手段上,例如针对性的黑客攻击和网络拦截。但是,政府和第三方经常广泛地使用其他形式的监视来进行跨境监视和监视。
用途最广泛但不受赞赏的方法之一是利用全球移动电信基础设施中的弱点来监视和拦截电话和流量。
资源丰富的政府长期以来具有开展此类活动的能力,但近年来,出现了出售这些功能的公司。例如,《卫报》在2020年3月报道说,沙特阿拉伯似乎“正在利用全球移动电信网络中的弱点来追踪公民在美国各地旅行的情况”。其他调查报告指出,尼日利亚和危地马拉的记者,持不同政见者和反对派政客也遭到类似袭击。
人们普遍认为,将全球电话系统用于跟踪和监视的行为非常普遍,但是很难进行调查。跟踪设备或截获消息后,目标设备上不一定有任何痕迹可供研究人员或研究人员查找。同时,蜂窝运营商在识别和阻止对其基础设施的滥用方面存在许多技术困难。
信号系统7(SS7)是1975年开发的协议套件,用于在不同的有线电信公司之间交换信息和路由电话。在SS7开发之时,全球电话网络由一小部分垄断的电信运营商组成。因为这些公司通常相互信任,所以SS7设计人员认为没有急需包括身份验证或访问控制。但是,电信放松管制和移动技术的出现很快开始挑战人们对信任的假设。即使如此,由于希望与旧设备保持互操作性,SS7得以忍受。
由于SS7缺乏身份验证,因此与SS7网络互连的任何攻击者(例如情报机构,购买SS7的网络犯罪分子或经营假电话公司的监视公司)都可以向用户的“家庭网络”发送错误的命令用户正在漫游。这些命令使攻击者可以跟踪受害者的位置,并拦截语音呼叫和SMS短信。这样的功能还可以用于拦截通过SMS发送的用于两因素身份验证的代码。对于电信运营商来说,将恶意流量与良性行为区分开来是极具挑战性和昂贵的,这使得这些攻击很难被阻止。
如今,SS7主要用于2G和3G移动网络(4G网络使用更新的Diameter协议)。这些网络中SS7的关键功能之一是处理漫游,“归属网络”的订户可以连接到其他“访问的网络”,例如在国际旅行中。在这种情况下,SS7用于处理将电话和SMS文本消息转发到“访问的网络”。尽管4G的Diameter协议包含用于身份验证和访问控制的功能,但这些都是可选的。此外,对Diameter网络与SS7网络互连的需求也带来了安全问题。人们普遍担心5G技术和其他进步将继承这些旧系统的风险。
出售利用全球蜂窝系统的公司往往是秘密运作的,但已经有一家公司出名了:Circles。据报道,该公司成立于2008年,2014年被Francisco Partners收购,然后与NSO Group合并。 Circles以出售利用SS7漏洞的系统而闻名,并声称仅将此技术出售给各个国家。
与NSO Group的Pegasus间谍软件不同,据报道,Circles的产品使用的SS7机制在目标手机上没有明显的签名,例如,带有SMS的恶意链接有时会出现在以Pegasus为目标的手机上。
对Circles的大多数调查都是依靠内部资源和开源情报,而不是技术分析。例如,尼日利亚报纸《 Premium Times》在2016年进行的一项调查显示,尼日利亚的两名州长购买了Circles系统,并利用它们监视政治对手。在一种情况下,系统安装在调速器的住所。我们的扫描发现了尼日利亚的两个Circles系统(第4节)。
作为针对NSO Group在以色列的诉讼的一部分,提交的文件旨在显示Circles与阿联酋的一些客户之间交换的电子邮件。最著名的是,文件显示Circles将目标的位置和电话记录(呼叫详细记录或CDR)发送到阿联酋国家安全最高委员会(SCNS),这显然是产品演示的一部分。电子邮件还表明,当目标漫游时,拦截到外来目标的电话获得成功的机会更高。
相同的文件解释了Circles系统如何运作的一些方面。 SCNS设置为接收两个单独的系统:一个可以用于本地侦听的独立系统,另一个是连接到“ Circles Cloud”(在世界范围内具有漫游协议的实体)的单独的系统,可以用于在外部侦听。如果需要,阿联酋。
2015年,IntelligenceOnline建议Circles成立一家名为“ Circles Bulgaria”的虚假电话公司,以促进全世界的拦截。最近,《法证新闻》(Forensic News)于2020年发布的报告对FloLive的真实业务提出了质疑,该公司据称是“ IoT连接”公司。法医学新闻发现,FloLive似乎与Circles密切相关,并暗示该公司可能成为“ Circles背后的黑客和私人间谍的战线”。
关于Circles系统如何与NSO Group的旗舰Pegasus间谍软件集成的信息也很少,尽管NSO Group的前员工告诉母板Pegasus与Circles进行了“糟糕的集成”,并且Circles“夸大了其系统的功能。”
在搜索Shodan时,我们在AS200068中观察到了有趣的结果,AS200068是注册到Circles Bulgaria的IP地址块(图2)。这些结果显示Check Point制造的防火墙的主机名以及防火墙的SmartCenter实例的主机名。 SmartCenter可用于集中管理多个Check Point防火墙。 1个
在Circles注册的AS200068中,SmartCenter主机名包含域名tracksystem.info。似乎很清楚,tracksystem.info与Circles相关联,因为泄露的文档显示Circles员工是通过@ tracksystem.info电子邮件地址进行通信的。此外,根据RiskIQ,tracksystem.info或其子域所指向的37个IP地址中的17个位于AS200068和AS60097中,它们也已注册到Circles Bulgaria。
我们在Shodan,Censys,Fofa和Rapid7的历史声纳SSL数据集中搜索了SmartPoint主机名包含tracksystem.info的Check Point防火墙。我们还搜索了返回与以下正则表达式匹配的特殊“随机” TLS证书2的IP,因为我们看到了Check Point防火墙在其SmartCenter主机名中带有tracksystem.info的这些证书:
总体而言,我们在50个ASN中标识了与我们的指纹匹配的252个IP地址。许多人似乎有一个“防火墙主机”字段,似乎表明这些系统是客户端系统,例如client-circles-thailand-nsb-node-2,尽管有些使用telco一词代替客户端,有些则使用通用名称而不是客户名称,例如cf-00-182-1。如果我们在运输/访问ISP(即非数据中心ISP)上识别了Circles的Check Point防火墙,则我们假设该国政府的某个机构是Circles的客户。
我们确定的某些客户有两个单词的昵称,其中第一个单词是一个汽车品牌,几乎总是与该明显客户所在的国家或州拥有相同的首字母。例如,将IP地址为墨西哥的Circles防火墙命名为“ Mercedes”,IP地址为泰国的IP地址命名为“ Toyota”,将IP地址定位为阿布扎比的IP地址命名为“ Aston”,将IP地址定位为迪拜的IP防火墙名称为“ Dutton”。 ”
哈雷兹(Haaretz)首次报道了使用汽车品牌来指称客户的情况,尽管该报告表明这是NSO集团的惯例,而不是Circles。 Haaretz报告了以下代号:沙特阿拉伯是“ Subaru”,巴林是“ BMW”,约旦是“ Jaguar”。尽管我们确实发现了比利时的名称为“ BMW”的防火墙,但我们的扫描并未发现任何链接到Circles的名称为Subaru或Jaguar的Check Point防火墙。
从我们在50个ASN中检测到的252个IP地址中,我们确定了25个可能是Circles客户的政府。我们还根据WHOIS,被动DNS和来自Check Point防火墙IP或其邻居的历史扫描数据,确定了17个特定的政府分支机构,似乎是Circles客户。
澳大利亚,比利时,博茨瓦纳(情报和安全局局长),智利(调查警察局),丹麦(陆军司令部),厄瓜多尔,萨尔瓦多,爱沙尼亚,赤道几内亚,危地马拉(民间情报总局),洪都拉斯(国家情报局)调查和情报),印度尼西亚,以色列,肯尼亚,马来西亚,墨西哥(墨西哥海军;杜兰戈州),摩洛哥(内政部),尼日利亚(国防情报局),秘鲁(国家情报局),塞尔维亚(安全情报局) ,泰国(内部安全行动司令部;军事情报营;禁毒局),阿拉伯联合酋长国(国家安全最高委员会;迪拜政府;皇家集团),越南,赞比亚和津巴布韦。
尽管我们的分析以高信度得出了国家/地区结果,但在某些情况下,我们确定客户身份的努力的信度较低。
我们还发现至少有四个系统无法连接到特定国家/地区的证据(附录A)。
我们的研究确定了在25个国家/地区的部署。在某些情况下,我们能够走得更远,并确定具有不同确定性的指向特定政府客户的技术要素。令人不安的是,在许多情况下,整个政府,特别是政府客户,都有滥用监控技术和侵犯人权的历史。虽然此处突出显示了几种情况,但附录A列出了通过指纹识别发现的其他部署。
我们在博茨瓦纳确定了两个Circles系统:一个未命名的系统和一个名为Bentley Bullevard的系统,该系统似乎由博茨瓦纳情报和安全服务局(DISS)操作,因为Check Point防火墙上使用的TLS证书是由自签名进行签名的“ CN = sid.org.bw”的TLS证书,这是情报和安全局使用的域名。 DISS有时也称为“情报和安全局”(DIS)。
近期有多份关于在博茨瓦纳滥用监视设备以压制报道和公众对政府腐败的认识的报道。据报道,2014年,DISS参与使用Elbit Systems开发的监视和干扰技术对媒体进行“电子战”。此外,据报道,DISS试图破坏消息来源和报告者之间关系的隐私。
我们的扫描发现了在智利似乎是一个单独的Circles系统,代号Cadillac Polaris。该系统似乎由智利调查警察(PDI)操作,因为Check Point防火墙将客户端标识为“智利PDI”。 PDI是智利的主要执法机构。智利PDI还是Hacking Team的远程控制系统(RCS)间谍软件的客户,尽管他们声称该间谍软件仅在事先获得司法授权的情况下用于起诉犯罪。
在2017年至2018年之间,据报道,智利其他主要的国家警察局(Carabineros)非法截获了多个记者的电话,WhatsApp聊天和电报消息。智利警方还截获了马普切土著领导人的来信,并引用了被截取的聊天内容以证明逮捕的合理性。但是,官员后来因在领导人的电话中植入虚假证据而遭到起诉。
我们在Ginetta Galileo的危地马拉确定了一个Circles系统。该系统似乎是由民政总局(DIGICI)操作的,因为公开的WHOIS信息记录了防火墙IP已注册到“DirecciónGeneral de Inteligencia Civil”。
危地马拉报纸Nuestro Diario于2018年进行的一项调查发现,一家以色列军火商向DIGICI的一个秘密部门出售了各种间谍工具,包括NSO集团的飞马间谍软件和Circles系统。据报道,该部门使用该设备对记者,商人和政府的政治反对者进行非法监视。监视发生在对公民社会成员的极端身体威胁之中。最近的一份报告确定了2017年至2018年间危地马拉发生的900多次袭击事件,这些袭击事件既来自政府行为者也来自非国家行为者。
我们确定了墨西哥似乎有十个Circles系统。墨西哥海军(SEMAR)已使用一种系统,即Mercedes Ventura。 Mercedes Ventura系统的所有防火墙IP都位于/ 24s中,带有域名指向的其他多个IP地址,并为semar.gob.mx和链接到墨西哥海军的其他网站返回有效的TLS证书。杜兰戈州似乎使用了一个未命名的系统,因为durango.gob.mx的数十个子域也都指向该防火墙的IP之一。有关墨西哥环岛系统的其他详细信息,请参阅附录A。
之前,Reporting已将墨西哥政府与其他SS7监视设备(例如Ability制造的ULIN以及Verint Systems Inc.出售的代号SkyLock的系统)联系在一起。
墨西哥有着广泛的监视滥用历史。值得注意的是,我们先前的研究表明,墨西哥政府内部的实体连续滥用NSO Group的Pegasus间谍软件,以超过25名记者,人权维护者以及被卡特尔杀害和失踪的个人家庭为目标。滥用模式扩展到其他形式的数字监视。
人权组织已经证明,墨西哥海军对冲突和侵犯人权行为中的平民伤亡负有责任,包括非法拘留,绑架,酷刑和性酷刑。墨西哥国家人权委员会最近在一项建议中证实了这种模式。
我们的扫描发现摩洛哥似乎是一个单一的Circles系统。摩洛哥客户的IP与中央调查局(BCIJ)的多个网站位于相同的/ 27,与摩洛哥辅助部队(FA)位于相同的/ 26。 FA和BCIJ都在摩洛哥内政部的主持下。摩洛哥的一个政府机构似乎也是Circles附属机构NSO Group的客户,尽管该摩洛哥机构的身份尚未确定。
过去十年来,摩洛哥与多起监视滥用案件相关,从针对以Hacking Team的间谍软件为目标的人权组织为目标,到最近一系列使用NSO Group的Pegasus间谍软件为目标的摩洛哥和国外民间社会的案例。
我们的扫描发现了尼日利亚的两个Circles系统。一个系统可能与我们在2014年12月检测到的FinFisher间谍软件的尼日利亚客户之一在同一实体下运行。防火墙IP与我们在我们的检测到的FinFisher C& C服务器的IP地址位于相同的/ 27。 2014扫描(41.242.50.50)。另一个客户端似乎是尼日利亚国防情报局(DIA),因为其防火墙IP位于AS37258中,这是注册到“总部国防情报局阿索科罗,尼日利亚,阿布贾”的IP地址的一部分。
尼日利亚的民间社会成员面临着各种各样的数字威胁。 Front Line Defenders最近的一份报告得出结论,尼日利亚政府“已经对公民的电信进行了大规模监视”。保护记者委员会(CPJ)还报告了尼日利亚政府滥用电话监视的多起案件。
尼日利亚报纸《 Premium Times》的一项调查发现,尼日利亚的Bayelsa和Delta州州长从Circles购买了系统以监视其政治对手。在三角洲州,Premium Times报道说,该系统安装在“州长官邸”中,由总督的雇员而非警察操作。据报道,在巴耶尔萨州,州长利用“圈子”系统监视选举中的对手及其对手下的妻子和助手。调查还发现,这两个Circles系统是未经尼日利亚国家安全顾问办公室的适当授权进口的。
我们的扫描发现了泰国目前的三个客户。 Toyota Regency的防火墙IP地址与泰国皇家陆军内部安全运营司令部(简称“ ISOC”)的在线“作战室”相同/ 29。 3未命名系统的防火墙IP地址与显示军事情报营(MIBn)徽标的Wiki相同,位于/ 29中,该徽标似乎是陆军军事情报司令部( หน่วยข่าวกรองทางทหาร),泰国
......